Описание
Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данный, позволяющая нарушителю получить доступ к аутентификационным данным от прокси-сервера
Вендор
ООО «1С-Битрикс»
Наименование ПО
1С-Битрикс: Управление сайтом
Версия ПО
до 24.300 (1С-Битрикс: Управление сайтом)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)
Возможные меры по устранению уязвимости
Обновление программного обеспечения до версии 24.300 или выше
Компенсирующие меры:
- использование сторонних средств защиты информации, реализующих технологии «белых» списков для ограничения доступа недоверенных
IP-адресов и пользователей к панели управления (CMS) 1С-Битрикс;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 29%
0.00103
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2
Связанные уязвимости
CVSS3: 4.9
nvd
больше 1 года назад
Insufficiently protected credentials in DAV server settings in 1C-Bitrix Bitrix24 23.300.100 allow remote administrators to read proxy-server accounts passwords via HTTP GET request.
CVSS3: 6.8
github
больше 1 года назад
Insufficiently protected credentials in DAV server settings in 1C-Bitrix Bitrix24 23.300.100 allow remote administrators to read proxy-server accounts passwords via HTTP GET request.
EPSS
Процентиль: 29%
0.00103
Низкий
6.8 Medium
CVSS3
6.1 Medium
CVSS2