Техподдержка уязвимостей: CMS. Часть 1
1С-Битрикс — одна их самых популярных систем CMS. Включает в себя много интересных решений, начиная от сайта визитки, заканчивая высоконагруженными системами. Мы часто встречаем во время пентестов данный продукт и отмечаем, что большинство обнаруживаемых проблем безопасности можно увидеть в самописных модулях, а не в самом ядре Битрикса. Однажды, анализируя защищенность одной системы, построенной на основе коробочного решения, мы задетектили ряд любопытных уязвимостей. Жаль, но про все рассказывать нельзя, а вот про удаленное выполнение кода и повышение привилегий на сервере — уже можно.
Кстати, разработчики RCE исправлять отказались.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Windows Defender как таран: три 0-day за 13 дней и два из них всё ещё без патча
- О преподавательских работах в Азербайджане, с фотографиями
- Особенности архитектуры сетевой системы защиты информации с применением Keycloak
- Не ради сертификата: мой опыт HTB CWES
- Коммерческая тайна и промышленный шпионаж: вспоминаем кражу кода у Google и другие знаковые американские кейсы
- Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей
- АКАР подвела итоги Диджитал Нон-Медиа Рейтинга 2025
- Компьютерная криминалистика: дополнительный поиск ВПО при помощи событий Windows Defender
- Как врачи используют мобильные приложения
- ML IPS в Ideco NGFW: бессигнатурная защита от атак нулевого дня