PT-2014-10: Обход проактивного фильтра в Bitrix CMS

Уязвимое ПО

Bitrix CMS

Версия: 14.5.0 и более ранняя

Ссылка:
http://www.1c-bitrix.ru/products/cms/

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Обход проактивного фильтра
Вектор атаки: Удаленный

CVSS v2:
Base Score: 5.8
Vector: (AV:N/AC:M/Au:N/C:P/I:P/A:N)

CVE: отсутствует

Описание программы

Bitrix CMS - профессиональная система управления веб-проектами

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Обход проактивного фильтра" в Bitrix CMS.

Проактивный фильтр приложения Bitrix, используемый для фильтрации трафика и защиты от атак на веб-приложение, реализован некорректно и не учитывает все возможности синтаксиса MySQL запросов. Злоумышленник, используя ODBC escape синтаксис, может эксплуатировать уязвимости типа "Внедрение операторов SQL" в обход защиты.

Решение

Установите последнюю версию приложения

Статус уведомления

14.07.2014 - Производителю отправлены детали уязвимостей
16.07.2014 - Производитель выпустил исправление
26.12.2014 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Сергей Бобров (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2014-10

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/