Высокий7.1
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

PT-2025-24: Чтение исполняемых файлов PHP в 1С-Битрикс: Управление сайтом

Тип ошибки:

  • CWE-269:Improper Privilege Management

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N

  • Уровень критичности уязвимости (CVSSv4.0): 7.1 (high)

Описание уязвимости:

В 1С-Битрикс: Управление сайтом была выявлена проблема, затрагивающая версию 25.100.300.

Обнаруженная уязвимость может быть использована злоумышленником для чтения конфигурационных и исполняемых файлов PHP.

Статус уязвимости: Подтверждена производителем

Дата выявления уязвимости: 16.04.2025

Рекомендации:

  • Обновление модуля main до версии 25.100.400;
  • Обновление модуля fileman до версии 24.500.100 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Дмитрий Прохоров (Positive Technologies)

Идентификаторы:

BDU:2025-08663

Вендор:

«1С-Битрикс»

Уязвимый продукт:

«1С-Битрикс: Управление сайтом»

Уязвимые версии:

25.100.300