В популярной BPM-платформе Camunda 7 выявлено 30 уязвимостей

ГК «Солар» при поддержке компаний «Фазум» и «Хоулмонт» провела анализ на уязвимости BPM-платформы Camunda 7. Эксперты нашли 30 уязвимостей. Про шесть наиболее критичных они рассказали подробно.

Так, уязвимость CVE-2016-4000 в механизме десериализации библиотек Jython до версии 2.7.1rc1 позволяет злоумышленнику выполнить произвольный код для атак на инфраструктуру и контейнерную среду. Эксперты рекомендуют обновить механизм Jython до версии 2.7.1rc1 или выше. Если немедленное обновление невозможно, нужно ограничить источники данных и сетевой доступ к сервисам десериализации, внедрить контроль входных данных и мониторинг аномальной активности.

Уязвимость CVE-2020-11979 связана с инструментом Apache Ant для автоматизации сборки ПО на языке Java. Она позволяет локальному злоумышленнику модифицировать временное содержимое файлов, внедрять изменённые исходные данные в процессы сборки. При вторжении в инфраструктуру можно эскалировать права, выполнять произвольные команды и скомпрометировать систему.

Ещё одна уязвимость — CVE-2023-2976 — связана с общедоступными библиотеками Google Guava с открытым исходным кодом для программирования на Java. Злоумышленники могут использовать её для подмены содержимого временных файлов с риском раскрытия конфиденциальной информации и нарушения целостности данных. Эксперты рекомендуют использовать контейнеризацию сборки и доверенный репозиторий Docker-образов.

Уязвимость CVE-2023-6378 связана с багами в реализации компонента receiver библиотеки logback и приводит к полному отказу в обслуживании на уровне исполнительного сервера. Сервер прекращает работать и отвечать на запросы. Аналогичный эффект даёт брешь CVE-2021-28165 в веб-сервере и контейнере сервлетов Eclipse Jetty. Её эксплуатация приводит к некорректной обработке большого объёма данных, которые передаются между клиентом и сервером после установления безопасного соединения. Злоумышленник может отправить специально сформированный фрейм, что приведёт к стопроцентной загрузке процессора сервера, вызывая denial of service. Для устранения эксперты рекомендуют обновить Eclipse Jetty до версии 9.4.39 или новее. Если это невозможно, стоит дополнительно настроить межсетевой экран.

CVE-2021-35516 в библиотеке Compress с идентификатором угрожает чрезмерным выделением памяти при обработке специально сформированных архивов. Вредоносный архив может вызвать ошибку out-of-memory, приводящую к denial of service приложения или сервиса. Аналитики рекомендуют обновить библиотеку Compress до версии 1.21 или отключить функцию восстановления повреждённых архивов и ограничить выделяемую память при их обработке.

С февраля 2025 года коммерческая версия Camunda Platform 7 находится в режиме технической поддержки и получает только критические патчи. Изменение лицензионной политики ограничило использование в России бесплатной версии Community Edition. Однако 70% российских пользователей по-прежнему работают с седьмой версией Camunda. Такие данные по итогам второго квартала 2025 года приводит руководитель бизнес-кластера «X.Технологии» ПАО «Ростелеком» Дмитрий Рейдман. В крупных банках и финансовых организациях доля использования системы составляет до 40%, а в телеком-отрасли — 20–25%.