Патча нет, но паниковать рано: Как защитить свой сайт на Bitrix прямо сейчас
NewsMakerТри условия, без которых ваш «Битрикс» не взломать.
Эксперты CyberOK обращают внимание на две уязвимости в 1C-Bitrix — CVE-2025-67886 и CVE-2025-67887, публично раскрытые 15 декабря 2025 года. Патч на текущий момент не выпущен, PoC доступен.
Уязвимости обнаружены исследователем Egidio Romano в модуле Translate 1C-Bitrix, который отвечает за загрузку и распаковку архивов с локализациями во временную директорию. Система не проверяет содержимое архивов перед извлечением, что позволяет атакующему загрузить архив с PHP-файлом и специально сформированным .htaccess, а затем добиться выполнения вредоносного кода на сервере.
Впрочем, эксплуатация имеет ряд ограничений. Для атаки необходимы права «SOURCE» и «WRITE» на модуль Translate — привилегии, которые фактически уже подразумевают возможность редактирования PHP-файлов и доступ к инструменту PHP command line, позволяющему выполнять код без загрузки файлов. Кроме того, многое зависит от конфигурации веб-сервера: инфраструктуры на чистом Nginx без обработки .htaccess не подвержены полноценному RCE, поскольку PHP-файлы будут отдаваться как статика. В этом случае риск смещается в сторону arbitrary file write в веб-доступной зоне. Полноценная атака с выполнением кода возможна на Apache с включённым AllowOverride или на связке Nginx и Apache.
По оценкам экспертов, в Рунете насчитывается около 2 миллионов инстансов 1С-Bitrix, из которых потенциально уязвимыми могут быть порядка 10%. Уязвимости затрагивают 1C-Bitrix версий до 25.100.500 и Bitrix24 версий до 25.100.300 включительно.
Эксперты CyberOK обращают внимание на две уязвимости в 1C-Bitrix — CVE-2025-67886 и CVE-2025-67887, публично раскрытые 15 декабря 2025 года. Патч на текущий момент не выпущен, PoC доступен.
Уязвимости обнаружены исследователем Egidio Romano в модуле Translate 1C-Bitrix, который отвечает за загрузку и распаковку архивов с локализациями во временную директорию. Система не проверяет содержимое архивов перед извлечением, что позволяет атакующему загрузить архив с PHP-файлом и специально сформированным .htaccess, а затем добиться выполнения вредоносного кода на сервере.
Впрочем, эксплуатация имеет ряд ограничений. Для атаки необходимы права «SOURCE» и «WRITE» на модуль Translate — привилегии, которые фактически уже подразумевают возможность редактирования PHP-файлов и доступ к инструменту PHP command line, позволяющему выполнять код без загрузки файлов. Кроме того, многое зависит от конфигурации веб-сервера: инфраструктуры на чистом Nginx без обработки .htaccess не подвержены полноценному RCE, поскольку PHP-файлы будут отдаваться как статика. В этом случае риск смещается в сторону arbitrary file write в веб-доступной зоне. Полноценная атака с выполнением кода возможна на Apache с включённым AllowOverride или на связке Nginx и Apache.
По оценкам экспертов, в Рунете насчитывается около 2 миллионов инстансов 1С-Bitrix, из которых потенциально уязвимыми могут быть порядка 10%. Уязвимости затрагивают 1C-Bitrix версий до 25.100.500 и Bitrix24 версий до 25.100.300 включительно.