Почему сайты на 1С-Битрикс массово атакуют?

1С-Битрикс — самая популярная CMS в России для корпоративных сайтов и интернет-магазинов. В 2023–2024 годах произошла волна атак через уязвимости в модулях «Импорт/Экспорт в Excel» и обработке загрузки файлов (CWE-434). Злоумышленники загружали web-shell на сервер и получали полный доступ к сайту и базе данных. Многие on-premise установки остаются уязвимыми из-за отсутствия автоматического обновления.

Чем отличается безопасность Битрикс24 облачного и on-premise?

Битрикс24 в облаке обновляется автоматически компанией 1С-Битрикс — вы не можете повлиять на процесс, но и не пропустите патч. On-premise установки (Битрикс: Управление сайтом, Битрикс24 коробка) требуют ручного обновления через административную панель. По статистике атак, on-premise версии в среднем отстают на 3-6 месяцев от последних патчей безопасности.

Какие уязвимости Битрикс имеют самый высокий CVSS?

Средний CVSS уязвимостей 1С-Битрикс в БДУ ФСТЭК — 7.5 (высокий), а Битрикс24 — 8.2 (высокий/критический). Самые опасные: загрузка произвольных файлов (CWE-434) с CVSS до 9.8, инъекция команд ОС (CWE-78) с CVSS до 9.1, XSS (CWE-79) — обычно 6.1–7.5. Уязвимости с CWE-434 позволяют загрузить web-shell и получить полный контроль над сервером.

Уязвимости 1С-Битрикс: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости 1С-Битрикс — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости 1С-Битрикс из реестра БДУ ФСТЭК: 42 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

42уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости 1С-Битрикс из БДУ ФСТЭК

Последняя уязвимость: 25 декабря 2025 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 42.

BDU:2022-01141

Критический

9.8EPSS 92%24ч

Уязвимость модуля «vote» системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, связанная с возможностью отправки специально сформированных сетевых пакетов, позволяющая нарушителю з

Уязвимость компонента bitrix/modules/main/tools.php сервиса для управления бизнесом Битрикс24, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и выполнить произвольн

Уязвимость компонента desktop_app/file.ajax.php?action=uploadfile модуля main сервиса для управления бизнесом Битрикс24, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость системы управления веб-проектами 1С-Битрикс, позволяющая нарушителю внедрить и открыть произвольный локальный файл

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к учетным данным контроллера домена (A

Уязвимость системы управления содержимым сайта (CMS) 1С-Битрикс, связанная с недостаточной защитой регистрационных данных, позволяющая нарушителю получить доступ к аутентификационным данным от SMTP-се

Уязвимость системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить доступ к конфиденциальной информ

Уязвимость системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю внедрить текст с вредоно

Уязвимость модуля iblock системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом, позволяющая нарушителю выполнить произвольный код

2025

Все 42 уязвимостей 1С-Битрикс в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости 1С-Битрикс

1С-Битрикс — CMS, на которой работают тысячи корпоративных сайтов и порталов в России. В 2023–2024 годах произошла волна массовых атак на сайты, построенные на Битрикс, через уязвимости в модулях «Импорт из Excel», «Экспорт в Excel» и обработке загрузки файлов. Средний CVSS уязвимостей Битрикс в БДУ — 7.5 (высокий). Типовые CVE: XSS (CWE-79), загрузка произвольных файлов (CWE-434), инъекция команд ОС (CWE-78). Битрикс24 (облачная версия) обновляется автоматически, но on-premise установки требуют ручного обновления — и часто остаются уязвимыми месяцами.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям 1С-Битрикс

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей 1С-Битрикс в SGRC

FAQ

Вопросы об уязвимостях 1С-Битрикс

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей 1С-Битрикс

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.