Критическая уязвимость в модуле отправки СМС из 1С-Битрикс

Уважаемый Партнер,

В нашем модуле для отправки СМС из 1С-Битрикс обнаружена (и уже устранена) уязвимость: в старой реализации функции compileTemplate отсутствовала фильтрация пользовательских данных, поступающих через макросы ($macros). Злоумышленник мог передать опасный PHP-код или символы управления переменными внутри макросов. Поскольку далее шаблон обрабатывался методом self::executePhp(), это приводило к произвольному исполнению кода (RCE) на сервере.

Кто находится в зоне риска: Уязвимости подвержены те пользователи, которые используют в смс шаблоне макросы с данных без дополнительной фильтрации, отправленные пользователем (например, имя).

Пошаговое руководство по исправлению

Инструкция: https://zahalski.dev/blog/cms-bitrix/rce_in_sms/

Я ничего не понял, как исправлять, и касается ли это меня?

Крайне рекомендуется обновить модули до последней версии.

Также: если Вы боитесь вносить изменения в код или не можете обновить модуль через систему обновлений, то проверьте шаблоны СМС на предмет появления в них потенциально опасных данных и подкорректируйте шаблоны.

Например, не безопасный шаблон #NAMЕ#, ваш заказ на сумму #PRICE# принят замените на безопасный: Ваш заказ на сумму #PRICE# принят.

С уважением,

TargetSMS.ru