Bitrix Site Manager, vzdálené spuštění kódu

Bitrix Site Manager do verze 4.0.5 včetně, obsahuje závažnou zranitelnost, která dovoluje vzdálenému útočníkovi spustit na cílovém stroji libovolný kód. Chyba je v neošetřeném vstupu do parametru „_SERVER[DOCUMENT_ROOT]” v souboru „/admin/index.php”, čehož může útočník využít a nahrát na cílový stroj libovolný php kód a následně ho spustit. Příklad použití včetně dalších podrobností naleznete zde. Výrobce zatím nedodal žádné řešení tohoto problémů.