Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-08611

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2024-08611
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2024-08611

CVSS: 6.8
23.04.2024

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от сервера Microsoft Exchange Server

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс связана с недостаточной защитой регистрационных данный. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к аутентификационным данным от сервера Microsoft Exchange Server
Статус уязвимости:
Подтверждена в ходе исследований
Уязвимость устранена
Дата выявления: 23.04.2024
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует
Способ эксплуатации: Несанкционированный сбор информации
Способ устранения: Нет данных
Меры по устранению: Обновление программного обеспечения до версии 24.300 или выше

Компенсирующие меры:
- использование сторонних средств защиты информации, реализующих технологии «белых» списков для ограничения доступа недоверенных
IP-адресов и пользователей к панели управления (CMS) 1С-Битрикс;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-522 CWE-522 Insufficiently Protected Credentials

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2024-34891 Insufficiently protected credentials in DAV server settings in 1C-Bitrix Bitrix24 23.300.100 allows remote administrators to...

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
6.1 MEDIUM 2.0 AV:N/AC:L/Au:M/C:C/I:N/A:N
6.8 MEDIUM 3.0 AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2024-34891
Вендор:
  • ООО «1С-Битрикс»
Тип ПО:
  • Прикладное ПО информационных систем
Наименование ПО:
  • 1С-Битрикс: Управление сайтом
Версия ПО:
  • 23.300.100 (1С-Битрикс: Управление сайтом)
  • до 24.300 (1С-Битрикс: Управление сайтом)
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.