Всем доброго времени суток, у Creatio есть ряд проблем с безопасностью, от части некоторые можно прикрыть, применяя лучшие практики по безопасности смягчая или полностью утренняя дальнейшее проникновение. Вот одна неприятная дыра, которую мы можем закрыть с помощью приведенных ниже настроек.
Вот эту уязвимость Creatio будем закрывать https://nvd.nist.gov/vuln/detail/CVE-2024-25461

Узнав об этой уязвимости, решил ее повторить, и это получилось выкладывать PoC (Proof of concept) в целях уменьшения воздействия публиковать ее не буду.
Давайте созреточимся на том, как ее закрыть
Общие меры — не хранить ни в каких файлах пароли в открытом виде. Не запускать Web от локального админа.
Полная блокировка через Url Rewrite

Альетрантивные варианты

• менять код приложения
• применять WAF  например как  ModSecurity, где в правилах включена блокировка Path Traversal Attack

Если вы хотите усилить безопасность Creatio или провести аудит системы  обращайтесь с радостью помогу.