Описание
Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс связана с недостаточной защитой регистрационных данный. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к аутентификационным данным от сервера Microsoft Exchange Server
Вендор
ООО «1С-Битрикс»
Наименование ПО
1С-Битрикс: Управление сайтом
Версия ПО
23.300.100 (1С-Битрикс: Управление сайтом)
до 24.300 (1С-Битрикс: Управление сайтом)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 24.300 или выше
Компенсирующие меры:
- использование сторонних средств защиты информации, реализующих технологии «белых» списков для ограничения доступа недоверенных
IP-адресов и пользователей к панели управления (CMS) 1С-Битрикс;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 12%
0.00041
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.8
nvd
больше 1 года назад
Insufficiently protected credentials in DAV server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to read Exchange account passwords via HTTP GET request.
CVSS3: 6.8
github
больше 1 года назад
Insufficiently protected credentials in DAV server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to read Exchange account passwords via HTTP GET request.
EPSS
Процентиль: 12%
0.00041
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2