У «
Откуда мы знаем об уязвимостях: центр информирования
С 2024 года «

Важная деталь, которую видно по датам: между исправлением уязвимости и её публичным раскрытием проходит от нескольких недель до нескольких месяцев. Например, серия дыр в инфоблоках была выявлена и исправлена в апреле 2025 года, а опубликована только 15 июля
Дальше — разбор самых опасных записей реестра за 2024–2026 годы: что это за уязвимости, чем они грозят бизнесу и что делать.
LFI в лендингах: 9.8 из 10 — самая опасная дыра за год
Самая тяжёлая запись последнего времени — Local File Inclusion при редактировании лендинга (БДУ
Что это значит на практике. LFI — класс атак, при котором злоумышленник заставляет приложение подключить и выполнить произвольный файл с сервера. В случае с модулем «Сайты 24» (лендинги) это открывает дорогу к чтению конфигурационных файлов — в том числе settings.php и dbconn.php с реквизитами доступа к базе данных, — а в худшем сценарии к выполнению кода и полному захвату сайта.
Отдельный неприятный момент: модуль лендингов установлен и включён на огромном числе сайтов «на всякий случай», даже если бизнес им не пользуется. Уязвимость в модуле, которым никто не пользуется, — всё ещё уязвимость.
Правило, которое экономит массу проблем: всё, что не используется, должно быть выключено. Каждый включённый модуль — это дополнительная поверхность атаки.
Доступ к настройкам почты: свежая уязвимость апреля 2026
Самая свежая запись реестра — несанкционированный доступ к информации о настройках почтовых отправлений (БДУ
Почему доступ к почтовым настройкам — это серьёзно. В настройках почтовых отправлений хранятся адреса, шаблоны и параметры отправки писем сайта: подтверждения заказов, восстановление паролей, уведомления. Получив к ним доступ, атакующий может изучить внутреннюю кухню рассылок и использовать её для целевого фишинга — письма «от вашего магазина» с корректными реквизитами выглядят абсолютно достоверно. Для
Инфоблоки: чтение произвольных файлов на сервере
Июльская публикация 2025 года раскрыла сразу три родственные уязвимости в работе с инфоблоками — ключевым механизмом хранения контента в Битриксе:
- Local File Inclusion при изменении свойств инфоблока (БДУ
2025-08666 ) — оценка 8.0; - чтение произвольных файлов при импорте инфоблока из XML (БДУ
2025-08665 ) — оценка 6.9; - чтение произвольных файлов при импорте инфоблока (БДУ
2025-08664 ) — оценка 6.9.
Все три выявлены 21 апреля 2025 года и исправлены за два дня. Общий знаменатель — возможность добраться до файлов, к которым у пользователя не должно быть доступа: конфигурация, дампы, резервные копии, лежащие в пределах сайта. Эти уязвимости эксплуатируются из административного контекста, поэтому иногда их считают «неопасными» — мол, у злоумышленника и так должен быть доступ в админку. Это ошибка: в связке с фишингом, слабыми паролями или избыточными правами
Превышение привилегий: почтовые шаблоны и копирование файлов
Ещё две записи той же июльской серии 2025 года — превышение привилегий при редактировании почтовых шаблонов (БДУ
Сценарий тот же, что и выше: пользователь с ограниченными правами получает возможность делать то, что ему не положено. Почтовые шаблоны в Битриксе поддерживают исполняемые конструкции, поэтому право их редактировать исторически близко к праву исполнять код. Если у вас в админке есть учётки подрядчиков,
Виртуальная машина Bitrix: путь до root
Отдельный блок реестра касается не самой CMS, а типового окружения — виртуальной машины VMBitrix, на которой работает значительная часть
- повышение привилегий bitrix→root — две записи от 10 апреля 2025 года (БДУ
2025-04539 и2025-04604 ), обе с оценкой 8.0: пользователь, от которого работаетвеб-сервер , может стать суперпользователем; - захват установщика (
CVE-2022-29268 , опубликована 16 июля 2024 года): если злоумышленник доберётся до мастера установки виртуальной машины раньше администратора, он получает контроль над сервером.
Комбинация «дыра в CMS + повышение привилегий в VM» — это готовая цепочка полной компрометации: через уязвимость сайта атакующий получает выполнение кода от пользователя bitrix, а через уязвимость VM — root. После этого говорить о «лечении сайта» бессмысленно, сервер переустанавливают целиком.
Хранимая XSS в форуме и инъекции через CRM-формы
Две записи напоминают, что опасность приходит и через публичные формы:
- хранимая XSS в обход проактивной защиты в модуле форума (БДУ
2025-00765 , январь 2025) — оценка 8.0. Вредоносный скрипт сохраняется в контенте и срабатывает в браузере каждого, кто открыл страницу, включая администратора — со всеми его cookie и сессией; - инъекция контента через
CRM-формы (БДУ2025-15620 , декабрь 2025) — оценка 3.1: заполняя форму, злоумышленник может добавить посторонний контент в связанныеemail-рассылки . Оценка невысокая, но для репутации рассылок и доставляемости писем — чувствительно.
Показательно, что XSS в форуме работала в обход проактивной защиты. Проактивный фильтр Битрикса — полезный рубеж, но не гарантия: полагаться только на него нельзя.
Почему «мы обновлялись год назад» не защищает
Типовые возражения, которые мы слышим на аудитах, и что с ними не так:
- «У нас стоит проактивная защита» — см. выше: реестр содержит уязвимости, эксплуатируемые в её обход;
- «Сайт работает, значит всё в порядке» — компрометация не выглядит как поломка. Майнер,
спам-рассылка или слив базы месяцами живут на работающем сайте; - «Мы не можем обновляться — сломается кастомизация» — самая частая и самая опасная ситуация. Если разработчики правили ядро, сайт застревает на уязвимой версии навсегда. Это архитектурная ошибка, и её нужно исправлять, а не консервировать;
- «Лицензия истекла, обновления недоступны» — без активной лицензии сайт не получает патчи безопасности вообще. Продление лицензии в этом смысле — не абонентская плата, а страховка.
Чек-лист : что сделать прямо сейчас
Минимальная программа на ближайшую неделю:
- проверить версию главного модуля и установить все накопившиеся обновления — в первую очередь закрывающие LFI в лендингах и доступ к почтовым настройкам;
- если модули «Сайты 24», форум, блоги и другие не используются — отключить их;
- проверить актуальность лицензии: без неё нет патчей;
- обновить виртуальную машину VMBitrix до актуальной версии — уязвимости bitrix→root закрыты именно в ней;
- провести ревизию пользователей админки: удалить неактивных, сократить избыточные права, включить двухфакторную аутентификацию для администраторов;
- запустить встроенный сканер безопасности («Проактивная защита» → «Сканер безопасности») и разобрать все замечания;
- сменить пароли БД и админские пароли, если обновления не ставились больше года — исходить из презумпции, что сайт уже сканировали;
- проверить директории сайта на посторонние файлы (
веб-шеллы чаще всего лежат в/upload/и/bitrix/).

Как выстроить процесс: аудит и мониторинг
Разовое обновление решает сегодняшнюю проблему, но реестр пополняется постоянно: новые записи выходили в январе
- подписка на центр информирования — у реестра есть
RSS-лента , её стоит завести в рабочий мониторинг, чтобы узнавать о раскрытиях в день публикации; - регламент обновлений — тестовая копия сайта, на которой обновления проверяются перед продом; окно обновлений не реже раза в месяц, для критичных уязвимостей — в течение 48 часов;
- периодический аудит безопасности — раз в
полгода-год : проверка прав, конфигурации окружения, целостности ядра, следов компрометации; - резервные копии вне сервера — с проверкой восстановления. Бэкап на том же сервере при захвате root не поможет.
Главное
В реестре «


