Эксперты Positive Technologies обнаружили уязвимости в HR-платформе Websoft HCM
Эксперты Positive Technologies выявили ряд уязвимостей в российской платформе для автоматизации HR-процессов Websoft HCM. До исправления недостатки могли позволить злоумышленникам похитить данные с платформы и получить полный контроль над сервером.
Уязвимости, зарегистрированные как PT-2025-53458 – PT-2025-53490, были обнаружены в версии Websoft HCM 2025.1. Их оценка по шкале CVSS 3.1 варьировалась от 4,1 до максимальных 10,0 баллов. Часть брешей, как указывается в сообщении, могла быть использована для атак на серверную часть, включая уязвимости удаленного выполнения кода (RCE). Для эксплуатации наиболее опасных из них, PT-2025-53467 и PT-2025-53468, не требовалась аутентификация пользователя.
Кроме того, нарушитель потенциально мог использовать цепочку ошибок для проведения социотехнических атак, перенаправляя пользователей на вредоносные страницы для кражи персональных и учетных данных.
Вендор, получив уведомление в рамках политики ответственного разглашения, выпустил обновление, устраняющее все обнаруженные проблемы в версии 2025.2. Платформа Websoft HCM применяется более чем 500 организациями в банковском, транспортном и энергетическом секторах. Платформа также используется в Казахстане, Узбекистане и Белоруссии.
Читайте также
