29.12.2025 · новости

Исследователь СайберОК Роберт Торосян обнаружил несколько уязвимостей в популярных сторонних плагинах Esolutions, размещенных в каталоге решений 1С-Битрикс: Управление сайтом.

По данным СКИПА, до 50.000 сайтов в российском сегменте интернета могут быть подвержены хотя бы одной из уязвимостей, описанных ниже. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.

Уязвимости Sensitive Data Exposure и Path Traversal, особенно действующие совместно, представляют критическую угрозу безопасности, позволяя злоумышленникам раскрывать чувствительные данные (включая хэши паролей всех пользователей) напрямую через интерфейс пользователя с правами контент-редактора или получать несанкционированный доступ к произвольным файлам сервера (конфигурационным файлам, базам данных, исходному коду). Это может привести к полной компрометации учётных записей, краже конфиденциальной информации, перебору паролей в оффлайн режиме и, в конечном итоге, захвату контроля над сервером.

Для предотвращения этих уязвимостей необходимо обновиться до последних версий.

Плагин «Экспорт/Импорт товаров в Excel»
(esol.importexportexcel, разработчик: esolution)

• COK-2025-12-04 / BDU:2025-16324
• Уязвимы все версии до 3.2.6
• CVSS v4: 7.1 — высокий уровень опасности

Плагин «Импорт из Excel»
(kda.importexcel, разработчик: esolution)

• COK-2025-12-05 / BDU:2025-16325
• Уязвимы все версии до 3.2.6
• CVSS v4: 7.1 — высокий уровень опасности

Плагин «Многофункциональный экспорт/импорт в Excel»
(esol.allimportexport, разработчик: esolution)

• COK-2025-12-08 / BDU:2025-16349
• Уязвимы все версии до 0.6.4
• CVSS v4: 7.1 — высокий уровень опасности

Плагин «Многофункциональный экспорт/импорт в Excel»
(esol.allimportexport, разработчик: esolution)

• COK-2025-12-09 / BDU:2025-16350
• Уязвимы все версии до 0.6.4
• CVSS v4: 7.1 — высокий уровень опасности

Рекомендуется установить обновления и провести аудит на предмет path traversal в собственных плагинах и расширениях.