Positive Technologies нашла бреши в российской платформе для кадровиком Websoft HCM

Разработчики российской платформы для специалистов кадровых подразделений (HR) Websoft HCM устранили ряд критических уязвимостей, которые потенциально позволяли злоумышленникам похищать данные с серверов и перехватывать контроль над ними. Об этом "Газете.Ru" сообщили в пресс-службе компании Positive Technologies, специалисты которой помогли найти и исправить уязвимости в Websoft HCM.

Уязвимости были обнаружены в версии Websoft HCM 2025.1 и получили оценки от 4,1 до 10 баллов по шкале CVSS 3.1 (где 1 – уязвимость низкой критичности с точки зрения простоты реализации и возможностей, которые открываются злоумышленнику, а 10 – максимально высокий, – "Газета.Ru"). Часть из них позволяла проводить атаки на серверную часть системы, включая удаленное выполнение кода.

Две наиболее опасные бреши не требовали аутентификации, что значительно упрощало потенциальную атаку и могло дать злоумышленнику полный доступ к серверу. Также выявленные ошибки могли использоваться в цепочках социотехнических атак для кражи персональных и учетных данных пользователей.

Разработчик платформы был уведомлен в рамках политики ответственного раскрытия и оперативно выпустил обновление. Все найденные уязвимости устранены в версии Websoft HCM 2025.2. В Positive Technologies рекомендуют пользователям как можно быстрее обновить систему или установить соответствующие патчи.

Платформа Websoft HCM используется более чем в 500 организациях, включая компании из банковского, транспортного и энергетического секторов, а также применяется за пределами России – в Казахстане, Узбекистане и Белоруссии.