Уважаемые Лицензиаты !
В версии ЛЭРС УЧЁТ 3.64.4 и выше была исправлена критическая уязвимость Remote Code Execution (RCE), которая позволяла выполнить на вашем сервере произвольный код. Уязвимость эксплуатирует механизм скриптов в отчётных формах.
Она присутствовала в редакторе отчётных форм веб-интерфейса и была доступна всем пользователям, которые вошли в вашу систему, даже если им не было предоставлено разрешение «Редактирование отчетных форм».
Уязвимость была обнаружена сотрудником компании Positive Technologies — Василием Бритом.
В связи с этим, мы рекомендуем всем пользователям, чья версия ниже чем 3.64.4 обновиться до последней актуальной версии 3.65.2.
Кроме того, убедитесь, что редактирование отчётных форм (и, соответственно, скриптов), разрешена только ограниченному числу доверенных лиц.
Например, вы можете создать группу пользователей «Запрет редактирования отчетных форм», установить для неё запрет разрешения «Редактирование отчетных форм». Далее включите в эту группу всех пользователей, кроме ограниченного числа доверенных лиц.
В следующей версии 3.66 мы планируем увеличить безопасность системы и полностью отказаться от скриптов в системных отчётных формах. В следующей версии вы сможете запретить загрузку новых отчётных форм со скриптами, или полностью отключить формирование отчётов со встроенными скриптами.
К сожалению, полностью избавиться от таких уязвимостей невозможно, но мы делаем всё, чтобы исправлять в первые часы после обнаружения. Поэтому крайне важно своевременно устанавливать все последние обновления ЛЭРС, чтобы обнаруженные уязвимости вас не касались.
Спасибо, что выбираете ЛЭРС УЧЁТ!
