Разработчики российской платформы для специалистов кадровых подразделений (HR) Websoft HCM устранили ряд критических уязвимостей, которые потенциально позволяли злоумышленникам похищать данные с серверов и перехватывать контроль над ними. Об этом «Газете.Ru» сообщили в пресс-службе компании Positive Technologies, специалисты которой помогли найти и исправить уязвимости в Websoft HCM.
Уязвимости были обнаружены в версии Websoft HCM 2025.1 и получили оценки от 4,1 до 10 баллов по шкале CVSS 3.1 (где 1 – уязвимость низкой критичности с точки зрения простоты реализации и возможностей, которые открываются злоумышленнику, а 10 – максимально высокий, – «Газета.Ru»). Часть из них позволяла проводить атаки на серверную часть системы, включая удаленное выполнение кода.
«Ряд найденных брешей мог быть использован для атак на серверную часть платформы. Самые опасные уязвимости этой категории были связаны с удаленным выполнением кода (RCE). Для эксплуатации большинства таких недостатков безопасности внешнему нарушителю необходимо было бы повысить привилегии в системе, однако уязвимости PT-2025-53467 (BDU:2025-12752) и PT-2025-53468 (BDU:2025-12753) не требовали аутентификации пользователя, что существенно упрощало проведение успешной атаки. В результате злоумышленник мог бы получить полный контроль над сервером», – пояснили в Positive Technologies.
Разработчик платформы был уведомлен в рамках политики ответственного раскрытия и оперативно выпустил обновление. Все найденные уязвимости устранены в версии Websoft HCM 2025.2. В Positive Technologies рекомендуют пользователям как можно быстрее обновить систему или установить соответствующие патчи.
Платформа Websoft HCM используется более чем в 500 организациях, включая компании из банковского, транспортного и энергетического секторов, а также применяется за пределами России – в Казахстане, Узбекистане и Белоруссии.
Ранее выяснилось, что Россия сталкивается с хакерскими атаками значительно чаще, чем гласит официальная статистика.
