Владельцы проектов на CMS Битрикс 28 июня столкнулись с массовым взломом своих сайтов, согласно официального форума Битрикс у некоторых пользователей были удалены проекты и изменены пароли.
Взлом был осуществлен через уязвимость модуля vote (версия ниже 21.0.100), а также через редактор html.
Рекомендуем в файлах /bitrix/tools/vote/uf.php и /bitrix/tools/html_editor_action.php перед require_once вставить следующий код:
if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
header("Status: 404 Not Found");
die();
}Данный блок запретит пост запросы к данном файлам, что предотвратит взлом даже если у вас уязвимая версия vote.
Таким образом, если у вас проекты на Битрикс, то рекомендуем выполнить следующие действия:
- Срочное обновление CMS до последней версии.
- Обновить версию Vote на 21.0.100, где исправлены ошибки безопасности.
Скачать обновление можно с официального сайта битрикс по ссылке.
Если у вас возникнут какие-либо вопросы по работе вашего сайта на Битрикс, вы всегда можете обратиться в отдел технической поддержки через тикет систему в личном кабинете.