Новость от 06.02.2025 по теме для решений от Аспро: [URL=https://aspro.ru/news/vzlomy-saytov-aspro/]Взломы сайтов на решениях Аспро: как обезопасить проект[/URL]
Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.
Для проектов Аспро, снятых с поддержки, есть [URL=https://aspro.ru/kb/article/777/]Патчер безопасности[/URL]. Прямая ссылка на патчер: [URL=https://aspro.ru/upload/fixit.zip]https://aspro.ru/upload/fixit.zip[/URL] (распаковать в корень сайта, перейти по ссылке
[URL=https://mydomain.com]https://mydomain.com[/URL]/fixit.php)
Информация для исправления вручную: [URL=https://aspro.ru/kb/article/446/]Общая информация по исправлению уязвимости unserialize[/URL][QUOTE]Решение
Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.
Для проектов Аспро, снятых с поддержки, есть [URL=https://aspro.ru/kb/article/777/]Патчер безопасности[/URL]. Прямая ссылка на патчер: [URL=https://aspro.ru/upload/fixit.zip]https://aspro.ru/upload/fixit.zip[/URL] (распаковать в корень сайта, перейти по ссылке
[URL=https://mydomain.com]https://mydomain.com[/URL]/fixit.php)
Информация для исправления вручную: [URL=https://aspro.ru/kb/article/446/]Общая информация по исправлению уязвимости unserialize[/URL][QUOTE]Решение
Для исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].
Пример:
было: unserialize($_REQUEST["PARAMS"])
стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])
Обязательно проверить директории:
/ajax/
/include/
/form/
/bitrix/components/aspro/
Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.
Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.[/QUOTE]
