Bitrix: уязвимость CGI Generic HTML Injections
Уязвимость актуальна для версии v21.9 и ниже. Пока нет информации что исправлена!
Эксплуатация: при переходе по специально сформированной ссылке на сайт с битриксом, выводится произвольное содержимое и выполняется произвольный js код.
Проверка вшивости сайта:
|
1 |
https://ваш_сайт/catalog/?q=<"dqzsbr%20> |
Исправление: самый простой способ, до исправления от битрикса — поправить .httaccess, добавив строчки:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
RewriteCond %{QUERY_STRING} " RewriteRule ^.*$ - [F] RewriteCond %{QUERY_STRING} %22 RewriteRule ^.*$ - [F] RewriteCond %{QUERY_STRING} %3C RewriteRule ^.*$ - [F] #RewriteCond %{QUERY_STRING} \< RewriteCond %{QUERY_STRING} %27 RewriteRule ^.*$ - [F] RewriteCond %{QUERY_STRING} %3E RewriteRule ^.*$ - [F] |