CVE-2025-67887
KrytyczneStreszczenie
1C-Bitrix w wersji 25.100.500 umożliwia zdalne wykonanie kodu, ponieważ użytkownik z uprawnieniami SOURCE/WRITE dla modułu Tłumaczeń może przesłać i wykonać kod, wysyłając plik PHP oraz plik .htaccess.
Ocena ryzyka
Organizacja może być narażona na złośliwe działania, jeśli nieautoryzowani użytkownicy uzyskają dostęp do uprawnień SOURCE/WRITE, co może prowadzić do kompromitacji systemu.
Rekomendacja
Zaleca się ograniczenie uprawnień do modułu Tłumaczeń oraz monitorowanie aktywności użytkowników z wysokimi uprawnieniami, aby zapobiec nieautoryzowanemu przesyłaniu plików.
Oryginalny opis (angielski, źródło NVD)
1C-Bitrix through 25.100.500 allows Remote Code Execution because an actor with SOURCE/WRITE permissions for the Translate Module can upload and execute code by sending a PHP file and a .htaccess file. NOTE: this is disputed by the Supplier because this is intended behavior for the high-privileged users who can upload new translated pages to the website.

