Описание
Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс связана с недостаточной защитой регистрационных данный. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к аутентификационным данным от SMTP-сервера
Вендор
ООО «1С-Битрикс»
Наименование ПО
1С-Битрикс: Управление сайтом
Версия ПО
до 24.300 (1С-Битрикс: Управление сайтом)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 24.300 или выше
Компенсирующие меры:
- использование сторонних средств защиты информации, реализующих технологии «белых» списков для ограничения доступа недоверенных
IP-адресов и пользователей к панели управления (CMS) 1С-Битрикс;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 29%
0.00107
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2
Связанные уязвимости
CVSS3: 4.9
nvd
больше 1 года назад
Insufficiently protected credentials in SMTP server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to send SMTP account passwords to an arbitrary server via HTTP POST request.
CVSS3: 6.8
github
больше 1 года назад
Insufficiently protected credentials in SMTP server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to send SMTP account passwords to an arbitrary server via HTTP POST request.
EPSS
Процентиль: 29%
0.00107
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2