Katalog CVE

CVE-2025-67887

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

1C-Bitrix w wersji 25.100.500 umożliwia zdalne wykonanie kodu, ponieważ użytkownik z uprawnieniami SOURCE/WRITE dla modułu Tłumaczeń może przesłać i wykonać kod, wysyłając plik PHP oraz plik .htaccess.

Ocena ryzyka

Organizacja może być narażona na złośliwe działania, jeśli nieautoryzowani użytkownicy uzyskają dostęp do uprawnień SOURCE/WRITE, co może prowadzić do kompromitacji systemu.

Rekomendacja

Zaleca się ograniczenie uprawnień do modułu Tłumaczeń oraz monitorowanie aktywności użytkowników z wysokimi uprawnieniami, aby zapobiec nieautoryzowanemu przesyłaniu plików.

Oryginalny opis (angielski, źródło NVD)

1C-Bitrix through 25.100.500 allows Remote Code Execution because an actor with SOURCE/WRITE permissions for the Translate Module can upload and execute code by sending a PHP file and a .htaccess file. NOTE: this is disputed by the Supplier because this is intended behavior for the high-privileged users who can upload new translated pages to the website.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS