1С-Битрикс Разработчикам

Постоянный посетитель

Сообщений: 96 Баллов: 15 Регистрация: 06.04.2020

#31

03.02.2025 15:12:34

Цитата
написал: А они там тоже в папку ajax подсаживают через include/mainpage/comp_catalog_ajax.php ?

Да. Сегодня был загружен из под него файл. Я сделал так

Код

$arGlobalFilter = ($bAjaxMode ? json_decode(urldecode($_POST["GLOBAL_FILTER"]), true) : 
    ($_GET['GLOBAL_FILTER'] ? json_decode(urldecode($_GET['GLOBAL_FILTER']), true) : []));

    $arComponentParams = json_decode(urldecode($arIncludeParams), true);

    if (!is_array($arComponentParams) || !is_array($arGlobalFilter)) {
        die("Ошибка: Некорректные параметры запроса.");
    }

Пользователь 8745548

Заглянувший

Сообщений: 7 Регистрация: 03.02.2025

#32

03.02.2025 15:58:12

К сожалению после модификаций в comp_catalog_ajax.php перестает корректно работать модуль "Табы на главной", куда выведены хиты, новинки, советуем (/include/mainpage/comp_catalog_hit.php). При использовании условия про die всегда выдает

Код
Некорректные параметры запроса.

А если убрать эту часть и оставить json_decode, то

Код
Неверный информационный блок

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#33

03.02.2025 16:18:04

Приветствую. Тоже видимо через эту уязвимость взломали, еще и на соседний сайт на Wordpress тоже появились левые папки... теперь хз что делать.

Интересно, сами разработчики АСПРО в курсе такой дыры?
Они давно рассылали рекомендации на е-мейл по закрытию уязвимости ( для unserialize добавить ['allowed_classes' => false]), которую я и сделал еще тогда. Но это не помогло, т.к. видимо решение у них дырявое как дуршлаг.

У меня дата изменения файла URL rewrite.пхп стоит еще от 10 января, т.е. взлом видимо с той даты и случился, а заметил я это только вчера, чисто случайно зайдя на фтп и увидев левые папки.

Пользователь 4418056

Заглянувший

Сообщений: 24 Баллов: 2 Регистрация: 09.07.2020

#34

03.02.2025 16:22:58

Цитата
написал: allowed_classes

Да, табы поломались на главной. Видимо придется их отключать, оставив только 1 вкладку, которая грузится сразу нормально, чтобы не смущать пользователей.

Пользователь 4418056

Заглянувший

Сообщений: 24 Баллов: 2 Регистрация: 09.07.2020

#35

03.02.2025 16:24:57

Цитата
написал: Интересно, сами разработчики АСПРО в курсе такой дыры?

Даже если и в курсе, то не помогут тебе с их же косяками (я не говорю о новом функционале или улучшении чего-то, а именно о их косяках), пока ты им не оплатишь подписку по полной.

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#36

03.02.2025 16:34:20

Цитата
написал: Даже если и в курсе, то не помогут тебе с их же косяками (я не говорю о новом функционале или улучшении чего-то, а именно о их косяках), пока ты им не оплатишь подписку по полной.

Это да. Как-то лет 5 назад просил у них просто добавить фильтр по количеству товара на сайт, так они за это решение запросили 35к, что тогда было сильно дороже чем само решение АСПРО. Еще тогда я уже прикинул +- что это за люди.

Пользователь 560275 Заглянувший Сообщений: 3 Регистрация: 04.08.2016	#37 0 03.02.2025 16:40:01 У нас тоже взломали, началось с 04.01.2025

Пользователь 492795 Заглянувший Сообщений: 17 Баллов: 1 Регистрация: 22.02.2016	#38 0 03.02.2025 16:58:43 По идее замена <?$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));?> на <?$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]);?> должна работать корректно

Пользователь 108318

Постоянный посетитель

Сообщений: 51 Баллов: 10 Регистрация: 23.11.2011

#39

03.02.2025 19:14:41

Цитата
написал: По идее замена <?$arParams = unserialize(urldecode($_REQUEST["PARAMS"]));?> на <?$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ['allowed_classes' => false]);?> должна работать корректно

Данная правка была внесена ещё несколько месяцев назад (в октябре), но никак не спасла от взлома.

Пользователь 36834

Заглянувший

Сообщений: 10 Баллов: 1 Регистрация: 02.02.2009

#40

03.02.2025 21:06:42

PHP 8.1.x
БУС 24.300.ххх
Aspro: Next 1.8.x

comp_catalog_ajax.php – у меня работает это решение, функционал не ломается, атакующая сторона получает 403 ошибку.

Код

if ($_POST["AJAX_PARAMS"] && !is_array(unserialize(urldecode($_POST["AJAX_PARAMS"]), ["allowed_classes" => false]))) {
    header('HTTP/1.1 403 Forbidden');
    $APPLICATION->SetTitle('Error 403: Forbidden');
    echo 'Error 403: Forbidden_1';
    require_once($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/epilog_after.php');
    die();
}
$arIncludeParams = ($bAjaxMode ? $_POST["AJAX_PARAMS"] : $arParamsTmp);
$arGlobalFilter = ($bAjaxMode ? unserialize(urldecode($_POST["GLOBAL_FILTER"]), ["allowed_classes" => false]) : array());
$arComponentParams = unserialize(urldecode($arIncludeParams), ["allowed_classes" => false]);

reload_backet_fly.php show_backet_fly.php show_basket_popup.php – не использую, функционал не проверял, но атакующая сторона получает 403 ошибку.

Код

if (!is_array(unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]))) {
    header('HTTP/1.1 403 Forbidden');
    $APPLICATION->SetTitle('Error 403: Forbidden');
    echo 'Error 403: Forbidden';
    require_once($_SERVER['DOCUMENT_ROOT'] . '/bitrix/modules/main/include/epilog_after.php');
    die();
}
$arParams = unserialize(urldecode($_REQUEST["PARAMS"]), ["allowed_classes" => false]);

Также атакуют comp_sections.php но у меня его нет. Предполагаю что там аналогичная ситуация.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером