Средний6.9
CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

PT-2025-26: Произвольное чтение файлов (CSV Import) в 1С-Битрикс:Управление Сайтом

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

  • Уровень критичности уязвимости (CVSSv4.0): 6.9 (medium)

Описание уязвимости:

В 1С-Битрикс: Управление сайтом была выявлена проблема, затрагивающая модуль iblock до версии 24.300.100.

Обнаруженная уязвимость может быть использована злоумышленником с правом CVS импорта инфоблоков для доступа к чтению произвольных файлов на сервере.

Статус уязвимости: Подтверждена производителем

Дата выявления уязвимости: 21.04.2025

Рекомендации:

  • Обновление модуля iblock до версии 24.300.100 или выше

Прочая информация: Бюллетень по безопасности

Исследователь: Всеволод Дергунов (Positive Technologies)

Идентификаторы:

BDU:2025-08665

Вендор:

«1С-Битрикс»

Уязвимый продукт:

«1С-Битрикс: Управление сайтом»

Уязвимые версии:

модуль iblock до версии 24.300.100