Уязвимости и меры безопасности
Информация о выявленных уязвимостях в Бипиуме, их статусе и способах устранения. Страница обновляется по мере выявления и закрытия уязвимостей.
Обзор
Бипиум публикует уведомления об уязвимостях в соответствии с принципами ответственного раскрытия информации. Каждая запись содержит описание уязвимости, оценку уровня опасности, затронутые версии и рекомендации по устранению.
Если вы обнаружили уязвимость — сообщите нам на support@bpium.ru. Мы рассматриваем все обращения в соответствии с регламентом поддержки.
Реестр уязвимостей
ID | Описание | Уровень | Затронутые версии | Статус | Дата публикации |
Разрыв авторизации внешних запросов в BPM | 🔴 Высокий | Все версии продукта | 🔨 В работе | 27.04.2026 | |
Directory Traversal (выход за пределы каталога) | 🟠 Средний | до 3.0.10 | ✅ Устранена | 18.03.2026 | |
Перебор учётных записей | 🟢 Низкий | до 3.0.10 | ✅ Устранена | 18.03.2026 |
Уровни опасности
Уровень | Описание |
🔥 Критический | Уязвимость допускает несанкционированный доступ к данным или выполнение произвольного кода без аутентификации. Требует немедленного обновления. |
🔴 Высокий | Уязвимость может привести к утечке данных или повышению привилегий при определённых условиях. Обновление рекомендуется в кратчайшие сроки. |
🟠 Средний | Ограниченное воздействие: требует специфических условий или прав для эксплуатации. Обновление рекомендуется при плановом обслуживании. |
🟢 Низкий | Минимальный риск. Уязвимость затрагивает незначительные компоненты или требует физического доступа. Устраняется в рамках плановых обновлений. |
Детали уязвимостей
BPM-2026№01
Разрыв авторизации внешних запросов в BPM
Уровень: 🔴 Высокий
Статус: 🔨 В работе
Дата публикации: 27.04.2026
Описание
Обнаружена особенность в работе системы проверки входящих данных. В определенных условиях механизм верификации может пропускать запросы, не требуя подтверждения их легитимности. Это потенциально позволяет системе обрабатывать неавторизованные команды, поступающие извне.
Затронутые версии
Все версии продукта.
Уровень опасности
Существует риск того, что система примет и выполнит действия по запросу от анонимного или недоверенного источника.
Рекомендации
В качестве временной меры рекомендуется изолировать сетевой интерфейс сервиса, ограничив возможность взаимодействия с ним только списком доверенных внутренних систем.
S3-2026№01
Directory Traversal (выход за пределы каталога)
Уровень: 🟠 Средний
Статус: ✅ Устранена
Дата публикации: 18.03.2026
Исправлено в версии: 3.0.10
Описание
В одной из функций обработки пользовательских данных была выявлена проблема, связанная с некорректной валидацией путей к файлам. В отдельных сценариях это может позволить обойти предусмотренные ограничения доступа к файловой системе.
Затронутые версии
Все версии до 3.0.10.
Уровень опасности
Эксплуатация уязвимости может привести к несанкционированному доступу к файлам, находящимся за пределами разрешенных директорий.
Рекомендации
Обновить систему до версии 3.0.10 или выше.
App-2026№01
Перебор учётных записей
Уровень: 🟢 Низкий
Статус: ✅ Устранена
Дата публикации: 18.03.2026
Исправлено в версии: 3.0.10
Описание
В системе обнаружена функциональность, позволяющая неограниченно проверять существование учётных записей. При регистрации или смене логина сервер сообщает, что указанный логин уже занят. Это позволяет злоумышленнику определить, какие пользователи зарегистрированы в системе.
Затронутые версии
Все версии до 3.0.10.
Уровень опасности
Злоумышленник может собрать список существующих пользователей, что в дальнейшем облегчает проведение атак перебором паролей или попытки социальной инженерии.
Рекомендации
Обновить систему до версии 3.0.10 или выше.