BDU:2024-08600

Опубликовано: 23 апр. 2024

Источник: fstec

CVSS3: 6.8

CVSS2: 6.1

EPSS Низкий

Описание

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетным данным контроллера домена (AD)

Вендор

ООО «1С-Битрикс»

Наименование ПО

1С-Битрикс: Управление сайтом

Версия ПО

до 24.300 (1С-Битрикс: Управление сайтом)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 24.300 или выше

Компенсирующие меры:

- использование сторонних средств защиты информации, реализующих технологии «белых» списков для ограничения доступа недоверенных

IP-адресов и пользователей к панели управления (CMS) 1С-Битрикс;

- отключение/удаление неиспользуемых учётных записей пользователей;

- минимизация пользовательских привилегий;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-34887
CVE

EPSS

Процентиль: 34%

0.00135

Низкий

6.8 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

CVE-2024-34887

CVSS3: 4.9

nvd

около 1 года назад

Insufficiently protected credentials in AD/LDAP server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to send AD/LDAP administrators account passwords to an arbitrary server via HTTP POST request.

GHSA-27r6-xq24-p9x8