Oleg Labyntsev

**Nome do software vulnerável e versões afetadas** 1C-Bitrix Bitrix24 versão 23.300.100 **Descrição** O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor AD/LDAP, permitindo que administradores remotos enviem senhas de contas de administradores AD/LDAP para um servidor arbitrário por meio de uma solicitação HTTP POST. Isso pode permitir que um invasor remoto obtenha acesso às credenciais do controlador de domínio (AD). **Recomendações** Para a versão 23.300.100, considere restringir o acesso às configurações do servidor AD/LDAP para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a configuração AD/LDAP vulnerável na versão afetada do Bitrix24.

**Nome do software vulnerável e versões afetadas** 1C-Bitrix Bitrix24 versão 23.300.100 **Descrição** O problema está relacionado a credenciais insuficientemente protegidas nas configurações do servidor SMTP, permitindo que administradores remotos leiam senhas de contas SMTP por meio de uma solicitação HTTP GET. Isso pode ser explorado por um invasor remoto para usar indevidamente as configurações SMTP e obter acesso aos dados de autenticação do servidor SMTP. **Recomendações** Para a versão 23.300.100, considere restringir o acesso às configurações do servidor SMTP para minimizar o risco de exploração. Como solução temporária, evite usar a solicitação HTTP GET para acessar senhas de contas SMTP até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** 1C-Bitrix Bitrix24 versão 23.300.100 **Descrição** O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor DAV, permitindo que administradores remotos leiam senhas de contas do Exchange por meio de uma solicitação HTTP GET. Isso pode permitir que um invasor remoto obtenha acesso aos dados de autenticação do Microsoft Exchange Server. **Recomendações** Para o 1C-Bitrix Bitrix24 versão 23.300.100, considere restringir o acesso às configurações do servidor DAV para minimizar o risco de exploração. Como solução temporária, evite usar as configurações do servidor DAV até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** 1C-Bitrix Bitrix24 versão 23.300.100 **Descrição** O problema diz respeito a credenciais insuficientemente protegidas nas configurações do servidor SMTP, permitindo que administradores remotos enviem senhas de contas SMTP para um servidor arbitrário por meio de uma solicitação HTTP POST. Isso poderia permitir que um invasor remoto obtivesse acesso aos dados de autenticação do servidor SMTP. **Recomendações** Para a versão 23.300.100, atualize imediatamente para a versão de patch mais recente e altere as credenciais comprometidas. Como solução temporária, considere restringir o acesso às configurações do servidor SMTP para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: 1C-Bitrix Bitrix24 versão 23.300.100 Descrição: O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor DAV, permitindo que administradores remotos leiam senhas de contas do servidor proxy por meio de uma solicitação HTTP GET. Isso expõe as credenciais, podendo levar a acesso não autorizado. Recomendações: Para a versão 23.300.100, considere restringir o acesso às configurações do servidor DAV para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar as senhas das contas do servidor proxy nas configurações do servidor DAV afetadas.