Platform
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00856
Распределение по критичности
Критический
1
Высокий
4
Средний
1
Низкий
0
Затронутые диапазоны версий
< 18.1< 20.1< 23.0< 25.3
Также сопоставлено как (исходные строки): platform
Топ уязвимостей
CVE-2023-45162В затронутых версиях 1E Platform присутствует уязвимость, связанная со слепой SQL-инъекцией, которая может привести к произвольному выполнению кода.
Применение соответствующего исправления устраняет эту проблему.
Для v8.1.2 примените исправление Q23166
Для v8.4.1 примените исправление Q23164
Для v9.0.1 примените исправление Q23169
Для SaaS-реализаций на v23.7.1 будет автоматически применено исправление Q23173. Клиентам с версиями SaaS ниже этой настоятельно рекомендуется срочно обновиться — пожалуйста, свяжитесь с 1E, чтобы организовать это.
CVE-2025-1683Неправильное разрешение ссылок перед доступом к файлам в модуле Nomad клиента 1E, в версиях до 25.3, позволяет злоумышленнику с локальным непривилегированным доступом на системе Windows удалять произвольные файлы на устройстве, exploiting символические ссылки.
CVE-2023-5964Инструкция 1E-Exchange-DisplayMessage, входящая в состав пакета End-User Interaction, доступного на 1E Exchange, не обеспечивает должную проверку параметров Caption или Message, что позволяет выполнить произвольный код с правами SYSTEM. Эта инструкция выполняется только на клиентах Windows [1].
Для устранения этой проблемы необходимо УДАЛИТЬ инструкцию «Показать диалог с заголовком %Caption% и сообщением %Message%» из списка инструкций в UI настроек и заменить ее на новую инструкцию 1E-Exchange-ShowNotification, доступную в обновленном пакете End-User Interaction. Новая инструкция должна иметь версию 7.1 или выше.
Источники:
- [1] https://exchange.1e.com/product-packs/end-user-interaction/
- [2] https://www.teamviewer.com/en/resources/trust-center/security-bulletins/1e-2023-2006/
CVE-2023-45163Инструкция 1E-Exchange-CommandLinePing, входящая в состав пакета Network, доступного на 1E Exchange, не обеспечивает должную проверку входного параметра, что позволяет выполнить произвольный код с правами SYSTEM. Эта инструкция выполняется только на клиентах Windows [1].
Для устранения этой проблемы загрузите обновленный пакет Network с 1E Exchange и обновите инструкцию 1E-Exchange-CommandLinePing до версии 18.1, загрузив ее через UI загрузки инструкций 1E Platform.
Источники:
- [1] https://www.teamviewer.com/en/resources/trust-center/security-bulletins/1e-2023-2005/
- [2] https://exchange.1e.com/product-packs/network/
CVE-2023-45161Инструкция 1E-Exchange-URLResponseTime, которая является частью пакета Network product pack, доступного на 1E Exchange, не проверяет должным образом параметр URL, что позволяет специально созданным входным данным выполнять произвольное выполнение кода с правами SYSTEM. Эта инструкция работает только на клиентах Windows.
Чтобы устранить эту проблему, загрузите обновленный пакет Network product pack из 1E Exchange и обновите инструкцию 1E-Exchange-URLResponseTime до версии v20.1, загрузив ее через пользовательский интерфейс загрузки инструкций 1E Platform.
CVE-2024-7211Компонент платформы 1E использовал сторонний Duende Identity Server, который страдал от уязвимости открытого перенаправления, позволяющей злоумышленнику контролировать путь перенаправления конечных пользователей.
Примечание: компонент платформы 1E, использующий сторонний Duende Identity Server, был обновлен патчем, включающим исправление.