1С-Битрикс Разработчикам

Пользователь 77927 Заглянувший Сообщений: 8 Регистрация: 07.12.2010	#61 0 28.06.2022 16:49:41 Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Пользователь 431805

Постоянный посетитель

Сообщений: 66 Баллов: 11 Регистрация: 13.01.2016

#62

28.06.2022 16:56:39

Цитата
написал: Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Ну, вот вариант, что у меня старая версия Битрикс и не получается ее обновить. Тут люди и ищут варианты закрыть дырку, без обновления siteupdate и модуля.

Пользователь 145697

Посетитель

Сообщений: 30 Баллов: 5 Регистрация: 13.10.2012

#63

28.06.2022 17:04:40

Цитата
написал: Обновить модуль vote до версии выше 21.0.0. В версии 21.0.1 убрали уязвимость, через которую ломают сайты сегодня https://bdu.fstec.ru/vul/2022-01141 https://dev.1c-bitrix.ru/docs/versions.php?lang=ru&module=vote

Насколько внимательно вы читали остальные сообщения в этой ветке? ломают не только через модуль vote. Как минимум еще и через редактор.

Пользователь 44828

Эксперт

Сообщений: 1318 Баллов: 231 Регистрация: 01.07.2009

#64

28.06.2022 17:19:28

Натолкнулся на эту тему и решил проверить наш сайт, итог(вдруг кому пригодится) такой:
- началось всё не сегодня, а 27/Jun/2022:06:11
- использовались запросы к /bitrix/tools/composite_data.php, /bitrix/tools/html_editor_action.php, /bitrix/admin/index.php, /bitrix/tools/vote/uf.php

Пользователь 2340153

Заглянувший

Сообщений: 5 Регистрация: 11.12.2018

#65

28.06.2022 17:41:16

/bitrix/tools/composite_data.php тут были GET запросы, вероятно чтобы по таймзоне только российские сайты нае#$№ть
bitrix/admin/index.php этот врятли как-то можно использовать для иньекций.

/bitrix/tools/vote/uf.php
/bitrix/tools/html_editor_action.php
В этих от греха ставить лучше die() до выяснений

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#66

28.06.2022 17:44:04

Цитата

Алексей Быстрицкий написал:
/bitrix/tools/composite_data.php тут были GET запросы, вероятно чтобы по таймзоне только российские сайты нае#$№тьbitrix/admin/index.php этот врятли как-то можно использовать для иньекций./bitrix/tools/vote/uf.php/bitrix/tools/composite_data.phpВ этих от греха ставить лучше die() до выяснений

И еще в /bitrix/tools/html_editor_action.php

Пользователь 2340153

Заглянувший

Сообщений: 5 Регистрация: 11.12.2018

#67

28.06.2022 17:45:03

Цитата
написал: И еще в /bitrix/tools/html_editor_action.php

Да, спасибо опечатался

Пользователь 8629

Постоянный посетитель

Сообщений: 108 Баллов: 10 Регистрация: 18.01.2007

#68

28.06.2022 17:46:57

Цитата

написал:

Цитата

3. Лечим задетые файлы. Мы проанализировали список запросов, по которому пытались бить POST-ом:

В файл /bitrix/tools/vote/uf.php после required:

Код

    // После required добавляем:  
  $request    = \Bitrix\Main\Context::getCurrent()->getRequest();
   if   (   $request   ->isPost()) {
    CHTTP::SetStatus(   "404 Not Found"   );
    @define(   "ERROR_404"   ,   "Y"   );
       die   ();
}

В файл /bitrix/tools/html_editor_action.php после required:

Код

    // После required добавляем:  
  $request    = \Bitrix\Main\Context::getCurrent()->getRequest();
   if   (   $request   ->isPost()) {
    CHTTP::SetStatus(   "404 Not Found"   );
    @define(   "ERROR_404"   ,   "Y"   );
       die   ();
}

(остальное сейчас дополню)

Смысла добавлять ПОСЛЕ require нет никакого, весь код уже выполнится.

Поэтому, либо добавлять непосредственно в модуль этот код, либо как я написал чуть выше ПЕРЕД require чистым php

Так?

Код

$request  = \Bitrix\Main\Context::getCurrent()->getRequest();
if ( $request ->isPost()) {
    CHTTP::SetStatus( "404 Not Found" );
    @define( "ERROR_404" , "Y" );
    die ();
}

require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Пользователь 6393072 Заглянувший Сообщений: 2 Регистрация: 28.06.2022	#69 0 28.06.2022 17:52:34 Подскажите, возможно ли восстановить ключ от облака bitrix? резервная копия в нем

Пользователь 61272

Посетитель

Сообщений: 35 Баллов: 5 Регистрация: 12.09.2011

#70

28.06.2022 17:53:55

Цитата
Александр Ермакович написал: Так?Код$request = \Bitrix\Main\Context::getCurrent()->getRequest(); if ( $request ->isPost()) { CHTTP::SetStatus( "404 Not Found" ); @define( "ERROR_404" , "Y" ); die (); } require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Вот так, у вас же ядро не подключается и классы битрикса не получится использовать до require

Код
if ($_SERVER['REQUEST_METHOD'] === 'POST') { header("Status: 404 Not Found"); die(); } require_once($_SERVER["DOCUMENT_ROOT"]."/bitrix/admin/fileman_html_editor_action.php");

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером