Какие уязвимости 1С самые опасные для бизнеса?

Наиболее критичные уязвимости 1С:Предприятие: XSS в веб-клиенте (CWE-79) позволяет перехватить сессию бухгалтера, инъекция команд ОС (CWE-78) через серверные вызовы даёт полный доступ к серверу, недостаточная защита учётных данных (CWE-522) позволяет восстановить пароли из хранилища. Компрометация 1С — доступ к финансовым данным, зарплатам, ПДн всех сотрудников.

Является ли 1С информационной системой персональных данных?

Да, практически всегда. Базы 1С:ЗУП (Зарплата и управление персоналом), 1С:Бухгалтерия, 1С:ERP содержат ФИО, паспортные данные, ИНН, адреса сотрудников — это ИСПДн по 152-ФЗ. Оператор обязан выполнять требования приказа ФСТЭК №21, включая мониторинг уязвимостей (мера АНЗ.1) и устранение в установленные сроки.

Как 1С выпускает обновления безопасности?

Фирма «1С» публикует обновления через портал releases.1c.ru и механизм автоматического обновления платформы. Однако многие организации используют старые версии платформы (8.3.18 и ниже), не совместимые с последними патчами. Мониторинг CVE для 1С через БДУ ФСТЭК позволяет контролировать, что ваша версия платформы не содержит известных уязвимостей.

Уязвимости 1С:Предприятие: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости 1С:Предприятие — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости 1С:Предприятие из реестра БДУ ФСТЭК: 64 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

64уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости 1С:Предприятие из БДУ ФСТЭК

Последняя уязвимость: 25 декабря 2025 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 64.

BDU:2022-01141

Критический

9.8EPSS 92%24ч

Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, связанная с возможностью отправки специально сформированных сетевых пакетов, позволяющая нарушителю з

Уязвимость компонента bitrix/modules/main/tools.php сервиса для управления бизнесом Битрикс24, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольн

Уязвимость компонента desktop_app/file.ajax.php?action=uploadfile модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость системы управления веб-проектами 1С-Битрикс, позволяющая нарушителю внедрить и открыть произвольный локальный файл

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к учетным данным контроллера домена (A

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от SMTP-се

Уязвимость системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальной информ

Уязвимость системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю внедрить текст с вредоно

Уязвимость инструмента разработчика «1С:Библиотека стандартных подсистем», связанная с недостатками управления процессом генерации кода, позволяющая нарушителю выполнить произвольный код

2025

Все 64 уязвимостей 1С:Предприятие в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости 1С:Предприятие

1С:Предприятие — платформа, на которой работают бухгалтерия, кадры, управленческий учёт и ERP практически каждой российской организации. Уязвимости 1С опасны доступом к финансовым данным и персональным данным сотрудников. Типовые CVE: межсайтовый скриптинг XSS (CWE-79) в веб-клиенте, инъекция команд ОС (CWE-78) через серверные вызовы, недостаточная защита учётных данных (CWE-522). Фирма «1С» выпускает патчи через платформу обновлений, но многие организации используют устаревшие версии. Мониторинг уязвимостей 1С через БДУ ФСТЭК критичен для ИСПДн — база 1С почти всегда содержит ПДн сотрудников.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям 1С:Предприятие

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей 1С:Предприятие в SGRC

FAQ

Вопросы об уязвимостях 1С:Предприятие

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей 1С:Предприятие

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.