Bitrix Component - Cross-Site Scripting (CVE-2023-1719)

Global variable extraction in bitrix/modules/main/tools.php in Bitrix24 22.0.300 allows unauthenticated remote attackers to (1) enumerate attachments on the server and (2) execute arbitrary JavaScript code in the victim’s browser, and possibly execute arbitrary PHP code on the server if the victim has administrator privilege, via overwriting uninitialised variables.

在Bitrix24 22.0.300版本中，位于bitrix/modules/main/tools.php的全球变量提取功能允许未经身份验证的远程攻击者（1）枚举服务器上的附件，以及（2）在受害者的浏览器中执行任意JavaScript代码，若受害者拥有管理员权限，则可能进一步在服务器上执行任意的PHP代码，通过覆盖未初始化的变量实现。