Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07463

Опубликовано: 01 нояб. 2023
Источник: fstec
CVSS3: 9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функции mb_strpos() сервиса для управления бизнесом Битрикс24 связана с непринятием мер по нейтрализации сценария в атрибутах на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS), путем размещения HTML-тегов в начале полезной нагрузки

Вендор

ООО «1С-Битрикс»

Наименование ПО

Битрикс24

Версия ПО

22.0.300 (Битрикс24)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование средств межсетевого экранирования уровня веб-приложений;
- контроль журналов трафика на наличие строки "\xe2\x80\xa9" с другими символами "<" или "=".
Обновление модуля crm

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 21%
0.00067
Низкий

9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-1715

CVSS3: 9
nvd
больше 2 лет назад

A logic error when using mb_strpos() to check for potential XSS payload in Bitrix24 22.0.300 allows attackers to bypass XSS sanitisation via placing HTML tags at the begining of the payload.

github логотип

GHSA-ch98-xc2f-x3rf

CVSS3: 9
github
больше 2 лет назад

A logic error when using mb_strpos() to check for potential XSS payload in Bitrix24 22.0.300 allows attackers to bypass XSS sanitisation via placing HTML tags at the begining of the payload.

EPSS

Процентиль: 21%
0.00067
Низкий

9 Critical

CVSS3

9 Critical

CVSS2