Для исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].
Пример:
было: unserialize($_REQUEST["PARAMS"])
стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])
Обязательно проверить директории:
/ajax/
/include/
/form/
/bitrix/components/aspro/
Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.
Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.
