CVE-2022-27228

Versões do Bitrix Site Manager anteriores à 21.0.100

Versões do Bitrix Site Manager de 22.0.0 a 22.0.400

Versões do módulo Landing do Bitrix Site Manager anteriores à 23.800.0

O módulo “vote” (também conhecido como “Polls, Votes”) no Bitrix Site Manager contém uma falha que permite que um invasor remoto e não autenticado execute código arbitrário. Isso se deve à capacidade de enviar pacotes de rede especialmente criados, permitindo que o invasor grave arquivos arbitrários no sistema vulnerável. Estima-se que aproximadamente 160.000 sites estejam suscetíveis a essa vulnerabilidade. Existe uma vulnerabilidade separada no módulo Landing, permitindo a execução de código arbitrário. O fluxo de exploração para o módulo Landing é complexo. O módulo possui seu próprio controle de versão, separado do módulo principal. O módulo vulnerável permite que invasores redirecionem usuários de um site legítimo para recursos maliciosos. O endpoint da API /bitrix/admin/* é destacado como uma área potencialmente problemática, e recomenda-se restringir o acesso a ele.

Atualize o Bitrix Site Manager para uma versão anterior à 21.0.100.

Atualize o Bitrix Site Manager para a versão 22.0.400 ou posterior.

Atualize o módulo Landing para a versão 23.850.0 ou posterior.

Restrinja o acesso ao endpoint da API /bitrix/admin/*.