PT-2024-7256 · 1с · Bitrix24+1
Oleg Labyntsev
+1
·
Publicado
2024-04-23
·
Atualizado
2024-11-06
·
CVE-2024-34887
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
1C-Bitrix Bitrix24 versão 23.300.100
Descrição
O problema está relacionado à proteção insuficiente das credenciais nas configurações do servidor AD/LDAP, permitindo que administradores remotos enviem senhas de contas de administradores AD/LDAP para um servidor arbitrário por meio de uma solicitação HTTP POST. Isso pode permitir que um invasor remoto obtenha acesso às credenciais do controlador de domínio (AD).
Recomendações
Para a versão 23.300.100, considere restringir o acesso às configurações do servidor AD/LDAP para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a configuração AD/LDAP vulnerável na versão afetada do Bitrix24.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bitrix24
Bitrix