Уязвимость в сервисе Битрикс24 позволяющая нарушителю выполнить произвольный JavaScript-код

В компоненте bitrix/templates/bitrix24/components/bitrix/menu/left_vertical/script.js модуля main сервиса для управления бизнесом Битрикс24 обнаружена уязвимость, связанная с неконтролируемым изменением атрибутов прототипа объекта. Вследствие эксплуатации этой уязвимости нарушитель, действующий удаленно, может выполнить произвольный JavaScript-код с помощью внедрения произвольного содержимого в объекты Prototype __proto__[tag] и __proto__[text].

Что это означает:

Злоумышленник может получить доступ к конфиденциальной информации, нарушить целостность данных или даже привести к отказу в обслуживании.

Что нужно сделать:

Для устранения уязвимости рекомендуется произвести обновление программного обеспечения до версии 22.600.200. В качестве дополнительных мер можно отключить или удалить неиспользуемые учетные записи пользователей, минимизировать пользовательские привилегии и применить средства межсетевого экранирования уровня веб-приложений. Также следует контролировать журналы трафика на наличие строки __proto__ в параметрах запроса.

Если вы испытываете трудности с устранением уязвимости, более подробную информацию и помощь можно получить в нашей компании.