Критическая уязвимость в 1С-Битрикс

03.02.2025 В 1С-Битрикс выявлена новая критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели.

Проблема связана с файлами в папке /ajax/, расположенной в корневой директории сайта:

• reload_basket_fly.php;
• show_basket_fly.php;
• show_basket_popup.php.

Эти скрипты используют небезопасную функцию unserialize() в PHP, что позволяет злоумышленникам отправлять вредоносные POST-запросы. В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 6af44f5202b1.php.

Если вы нашли подозрительные файлы в папке ajax, что делать и как устранить угрозу?

Рекомендуем незамедлительно связаться к нашим специалистам по 1С-Битрикс через почту help@bm-web.ru для полной проверки и исправления уязвимости.

Чтобы временно решить проблему самостоятельно, необходимо:

1. Восстановить файлы сайта и базу данных из резервной копии.
2. Удалить подозрительные файлы, если они сохранились после восстановления. Это файлы со случайными именами, .htaccess и php.ini в директории /vashsite.ru/ajax/.
3. Проверить и исправить код в /include/mainpage/comp_sections.php. Если он отличается от оригинальной версии, внесите исправления согласно инструкциям на форуме 1С-Битрикс.
4. Найти в директориях /vashsite.ru/ajax и /vashsite.ru/include в поиске по содержимому все файлы, содержащие строку unserialize, и заменить на безопасный unserialize [’allowed_classes’ => false]. Обычно это файлы: reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php, comp_catalog_ajax.php. Это лишь временное решение проблемы!!!
5. Обновить 1С-Битрикс, все модули и шаблоны до последних версий. Затем переключиться на PHP 8+. (Внимание! некоторые компоненты могут быть несовместимы с новой версией ядра).
6. Запустить модуль «Проактивная защита» в административной панели 1С-Битрикс. Он проверит корректность файлов .htaccess и выявит потенциально опасные файлы.
7. Создать файл .htaccess в директории /vashsite.ru/bitrix/admin/ или при его наличии дополнить правилом ограничения доступа ко всем IP-адресам, кроме IP администратора. Используйте следующий синтаксис: Order Deny,Allow Deny from all Allow from YOUR_IP_ADDRESS  
8. Изменить пароли всех администраторов сайта.