Критическая уязвимость в 1С-Битрикс
Критическая уязвимость в 1С-Битрикс
В 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели.
Об уязвимости
Проблема связана с файлами в папке /ajax/, расположенной в корневой директории сайта:
- reload_basket_fly.php;
- show_basket_fly.php;
- show_basket_popup.php.
Эти скрипты используют небезопасную функцию unserialize() в PHP, что позволяет злоумышленникам отправлять вредоносные POST-запросы. В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 5af47f5502b6.php.
Как устранить угрозу?
Рекомендуем незамедлительно связаться с разработчиком вашего сайта или специалистами 1С-Битрикс для полной проверки и исправления уязвимости.
Чтобы временно решить проблему самостоятельно, необходимо
- Восстановить файлы сайта и базу данных из резервной копии.
- Удалить подозрительные файлы, если они сохранились после восстановления. Это файлы со случайными именами, .htaccess и php.ini в директории /www/example.com/ajax/.
- Проверить и исправить код в /include/mainpage/comp_sections.php. Если он отличается от оригинальной версии, внесите исправления согласно инструкциям на форуме 1С-Битрикс.
- Найти в директориях /www/example.com/ajax и /www/example.com/include в поиске по содержимому все файлы, содержащие строку unserialize, и заменить на безопасный unserialize [’allowed_classes’ => false]. Обычно это файлы: reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, comp_catalog_ajax.php. Это лишь временное решение проблемы, после которого нужно обращаться к разработчикам вашего сайта или непосредственно к технической поддержке 1C-Битрикс.
- Обновить 1С-Битрикс, все модули и шаблоны до последних версий. Затем переключиться на PHP 8+. Перед началом обновления необходимо проконсультироваться с разработчиками вашего сайта или специалистами 1С-Битрикс для исключения последующих проблем с работоспособностью сайтов, так как некоторые компоненты могут быть несовместимы с новой версией ядра.
- Запустить модуль «Проактивная защита» в административной панели 1С-Битрикс. Он проверит корректность файлов .htaccess и выявит потенциально опасные файлы.
- Создать файл .htaccess в директории /www/example.com/bitrix/admin/ или при его наличии дополнить правилом ограничения доступа ко всем IP-адресам, кроме IP администратора.
Используйте следующий синтаксис:
Order Deny,Allow
Deny from all
Allow from YOUR_IP_ADDRESS
- Изменить пароли всех администраторов сайта.
Если вы получили уведомление о наличии вредоносного кода и блокировке хостинга, обратитесь в службу поддержки Рег.ру для снятия блокировки.
Источник - Рассылка reg.ru
Добавить комментарий / отзыв
SPF (Sender Policy Framework) — это список IP-адресов в виде буквенного кода, который прописывается в
настройках домена и содержит информацию о...
2025-03-14
В современном мире искусственный интеллект открывает потрясающие возможности для творчества и визуальной
коммуникации. Нейросеть д...
2025-02-18
От того, как ранжируется ваш сайт на поиске Google, напрямую зависит его посещаемость. На позиции в выдаче влияет
релевантность ко�...
2025-02-11
В статье мы разработаем свой собственный Google, который можно будет запустить в любой
локальной сети как атакующим, что ищут пароли, так...
2025-02-10
Пользователи добавляют мебель в интерьеры и делают постеры с автомобилями.
...
2025-01-20
Лучшие практики обеспечения безопасности PHP и PDO в современной веб-разработке
Оглавление
...
2024-11-26
Данная инструкция поможет вам, если вам нужно перенести сайт:
с одного домена на другой;
с поддомена на основной домен (наприме�...
2024-11-15
Коротко объясняю как быстро начать работу с Open Server Panel v.6
Содержание:
Вступление
Концепция новой версии
Первая уст...
2024-11-08
Как установить PhpMyAdmin в Open Server Panel
В данной статье мы рассмотрим процесс установки и настройки PhpMyAdmin (PMA) на платформе Open Server...
2024-11-08
Все привет, меня зовут Павел Жуковский и сегодня я расскажу о том как быстро
развернуть Laravel на Windows.
Как развернуть чере...
2024-09-30
На мой взгляд, Next.js - это лучший на сегодняшний день инструмент для разработки веб-приложений.
Обратите внимание: руководство актуально �...
2024-09-25
OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
Либо ограничить доступ.
OpenAI рассказа...
2024-09-05
Протокол WebSocket («веб-сокет»), описанный в спецификации RFC 6455,
обеспечивает возможность обмена данными между браузером и сервером че...
2024-08-01
Для SEO 404 Error — возможность сохранить клиента и позиции в выдаче. Как это сделать, в статье.
Окно «404 Not Found» вид...
2024-07-17
Введение
Данная статья является продолжением первой части: "PostgreSQL 16. Организация данных. Часть 1".
Как и первая часть, эта является объед�...
2024-05-27
Критическая уязвимость в 1С-Битрикс |
2025-02-11 08:44:50 | 2025-02-11 08:44:50 |
Администратор |
Статьи Web-мастеру |
|
В 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели. |
Критическая уязвимость в 1С-Битрикс |
|
В 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели. |
Критическая уязвимость в 1С-Битрикс |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2025-03-14 » SPF-запись
- 2025-03-07 » SEO на маркетплейсах: как оптимизировать карточку товара для поисковой выдачи
- 2025-02-18 » Топ-10 бесплатных нейросетей для генерации изображений: лучшие ии генераторы 2024 года
- 2025-02-11 » Критическая уязвимость в 1С-Битрикс
- 2025-02-11 » Google Search Console: руководство для начинающих вебмастеров
- 2025-02-11 » Методы измерения результативности рекламных кампаний: плюсы и минусы
- 2025-02-11 » Тренды SEO в 2025 году
- 2025-02-10 » Свой Google в локалке. Ищем иголку в стоге сена
- 2025-01-29 » SEO — это комплексная работа. Шесть главных факторов ранжирования сайтов
- 2025-01-29 » Гайд для главной страницы e-commerce сайта: как оформить, чтобы повысить конверсию
- 2025-01-20 » Krea AI выпустила бесплатную функцию преобразования изображений в 3D-объекты — их можно вращать и вписывать в фотографии
- 2025-01-15 » Топ-6 лучших российских нейросетей, в которых можно генерировать тексты и изображения бесплатно и без VPN
- 2025-01-14 » 15 бесплатных способов узнать, чем интересуется ваша аудитория
- 2025-01-11 » Бездепозитные бонусы в казино за регистрацию с выводом: особенности и возможности получения
- 2025-01-09 » Новая модель LAM способна выполнять задачи в Word
- 2024-12-26 » Универсальный промпт для нейросети: как выжать максимум из ChatGPT, YandexGPT, Gemini, Claude в 2025
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
«Web делает доступным все, для всех, везде и всегда. Если знания - это сила, то сила сейчас находится практически везде». К. Нордстрем, Й. Ридерстрале |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Качественное и объемное представление своего бизнеса в Сети требуется любой растущей коммерческой структуре, стремящейся увеличить продажи, именно по этой причине среди наших клиентов как крупные так и небольшие компании во многих городах России и ближнего зарубежья.
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Остались еще вопросы? Просто позвоните и задайте их специалистам
с 2:30 до 11:30 по Мск, звонок бесплатный
Или напишите нам в WhatsApp
Или напишите нам в WhatsApp
с 9:30 до 18:30 по Хабаровску
Или напишите нам в WhatsApp
Или напишите нам в WhatsApp
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.