🚨Обнаружены 4 Критические RCE уязвимости в модулях для CMS Bitrix стороннего разработчика "Сотбит".
Снова у нас небезопасная десериализация. Уязвимости плагинов связаны с недостаточной проверкой входных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, выполнить произвольный код. Эксплоит уже существует и активно используется. Разработчик рекомендует обновиться до последней версии или применить патч.
Список уязвимых плагинов:
⚫️ Сотбит: Оригами (решение удалено, версии 14.1.0 и старее)
⚫️ Сотбит: Расширенные отзывы (версии 1.4.1 и старее)
⚫️ Сотбит: Быстрая загрузка картинок в визуальном редакторе
⚫️ Сотбит: Мультирегиональность
⚫️ Сотбит: Парсер контента
Критичность - 8,8/10 CVSS 3.0
Идентификаторы BDU:
https://bdu.fstec.ru/vul/2025-06581
https://bdu.fstec.ru/vul/2025-06612
https://bdu.fstec.ru/vul/2025-06613
https://bdu.fstec.ru/vul/2025-06614
Расположение файлов решений "Сотбит" (по умолчанию):
/bitrix/components/sotbit*
/bitrix/modules/sotbit*
/bitrix/tools/sotbit*
/bitrix/wizards/sotbit*
/bitrix/gadgets/sotbit*
/bitrix/blocks/sotbit*
/local/components/sotbit*
/local/modules/sotbit*
/local/tools/sotbit*
/local/wizards/sotbit*
/local/gadgets/sotbit*
/local/blocks/sotbit*
Снова у нас небезопасная десериализация. Уязвимости плагинов связаны с недостаточной проверкой входных данных. Эксплуатация уязвимостей может позволить нарушителю, действующему удаленно, выполнить произвольный код. Эксплоит уже существует и активно используется. Разработчик рекомендует обновиться до последней версии или применить патч.
Список уязвимых плагинов:
Критичность - 8,8/10 CVSS 3.0
Идентификаторы BDU:
https://bdu.fstec.ru/vul/2025-06581
https://bdu.fstec.ru/vul/2025-06612
https://bdu.fstec.ru/vul/2025-06613
https://bdu.fstec.ru/vul/2025-06614
Расположение файлов решений "Сотбит" (по умолчанию):
/bitrix/components/sotbit*
/bitrix/modules/sotbit*
/bitrix/tools/sotbit*
/bitrix/wizards/sotbit*
/bitrix/gadgets/sotbit*
/bitrix/blocks/sotbit*
/local/components/sotbit*
/local/modules/sotbit*
/local/tools/sotbit*
/local/wizards/sotbit*
/local/gadgets/sotbit*
/local/blocks/sotbit*
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19🤯6👍3😁2❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤5👍4🥰2
@assume_birch 10.07.25
Очень понравились доклады "Impacket Undercover" и "Через бухгалтера к DA, или за что злоумышленники полюбили 1С". Даже захотелось после них проверить пару теорий.
И нетворкинг как всегда на уровне, спасибокасперскому за митап)
💫 @pentestnotes
Очень понравились доклады "Impacket Undercover" и "Через бухгалтера к DA, или за что злоумышленники полюбили 1С". Даже захотелось после них проверить пару теорий.
И нетворкинг как всегда на уровне, спасибо
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥7❤3👎1
Уязвимости снова в модулях esolution. Это конечно уже не RCE, но все равно интересно. Пару раз видел эти плагины на bugbounty. На данный момент у них суммарно около 5000 скачиваний, по данным официального каталога решений сторонних разработчиков Bitrix.
Критичность - 5.3/10 CVSS 3.0 (расшифровка).
Судя по CVSS, это должны быть Reflected XSS без авторизации. Верим.
Уязвимости подвержены плагины:
«Импорт из XML и YML» - (BDU:2025-06217)
«Импорт из Excel» - (BDU:2025-06218)
«Экспорт в Excel» - (BDU:2025-06219)
«Экспорт/Импорт товаров в Excel» - (BDU:2025-06220)
🔗 1. Уведомление ФСТЭК
🔗 2. Уведомление ФСТЭК
Please open Telegram to view this post
VIEW IN TELEGRAM
4❤8👍6
CVE-2025-53770.txt
8 KB
CVE-2025-53770 Microsoft SharePoint RCE PoC
На локальных (on‑prem) серверах Microsoft SharePoint обнаружена критическая RCE уязвимость CVE‑2025‑53770, позволяющая неавторизованному злоумышленнику запускать произвольный код. Снова кстати небезопасная десереализация.. Какая уже по счету?)
Эксплоит загружает вредоносный ASPX‑файл spinstall0.aspx, который извлекает MachineKey — валидный ключ для __VIEWSTATE
CVSS:3.1 9.8/10
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:W/RC:C
FOFA: Link
Netlas: Link
💫 @pentestnotes
На локальных (on‑prem) серверах Microsoft SharePoint обнаружена критическая RCE уязвимость CVE‑2025‑53770, позволяющая неавторизованному злоумышленнику запускать произвольный код. Снова кстати небезопасная десереализация.. Какая уже по счету?)
Эксплоит загружает вредоносный ASPX‑файл spinstall0.aspx, который извлекает MachineKey — валидный ключ для __VIEWSTATE
CVSS:3.1 9.8/10
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:W/RC:C
FOFA: Link
Netlas: Link
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥8❤6