ТАСС Медиа> 65 млн фото и видео
Военная операция на Украине
Коррупционный скандал в дипслужбе Евросоюза
ТАСС Медиа
ГлавнаяЭкономика и бизнес

Специалисты из России нашли 30 уязвимостей в Camunda 7

Уязвимости были найдены, например, в механизме десериализации библиотек Jython и во встраиваемом Java-веб-сервере Eclipse Jetty
Редакция сайта ТАСС
06:34

МОСКВА, 10 декабря. /ТАСС/. Российские специалисты по безопасности выявили более 30 уязвимостей в иностранной BPM-платформе (для управления бизнес-процессами) Camunda 7, которая остается популярной среди пользователей, хотя с октября получает только критические обновления. Об этом ТАСС сообщили участники расследования брешей - компании "Солар", "Фазум" (входят в "Ростелеком") и "Хоулмонт".

По их оценке, платформой пользовались сотни крупных компаний, в том числе российские банки из топ-10 по стране. Помимо того, что Camunda 7 в октябре 2025 года была переведена в режим технической поддержки с получением только критических исправлений, лицензионная политика следующей Camunda 8 изменилась так, что ее использование в России было существенно ограничено. Camunda 7 все еще занимает 70% среди других версий в России.

Уязвимости были найдены, например, в механизме десериализации (процесс, обратный сериализации - преобразованию состояния объекта в форму, которая может храниться или передаваться - прим. ТАСС) библиотек Jython ( реализация Python-кода для запуска в среде Java), а также в ряде других библиотек и во встраиваемом Java-веб-сервере Eclipse Jetty.

Последствия от некоторых из выявленных уязвимостей разнятся: от модификации временного содержимого файлов или возможности организовать дальнейшую кибератаку на инфраструктуру до выполнения произвольных команд и компрометации системы вообще. Как минимум две уязвимости при их эксплуатации могут привести к возможности полного отказа в обслуживании (DoS) исполнительного сервера.

По данным "Фазума", до 35% проектов автоматизации бизнес-процессов были реализованы на базе Camunda 7. В компаниях финсектора ее проникновение составляет до 40%, ее используют для автоматизации многих процедур типа KYC (Know Your Customer, система верификации личности), одобрения кредитов, мониторинга транзакций, связанных с незаконной финансовой деятельностью и так далее. В телеком-компаниях проникновение платформы оценивается в 20-25%, при этом системой пользуются и другие отрасли - например, промышленность и ретейл. 

Россия