Компания Positive Technologies выявила в российской платформе для специалистов кадровых подразделений Websoft HCM несколько критических уязвимостей. По данным специалистов в области информационной безопасности, с использованием этих недостатков в безопасности хакеры могли потенциально похищать данные с серверов и получать контроль над ними.
Уязвимости были обнаружены в версии Websoft HCM 2025.1 и получили оценки от 4,1 до 10 баллов по шкале CVSS 3.1. Некоторые из них позволяли атаковать серверную часть системы.
«Некоторые из найденных недостатков могли быть использованы для атак на сервер платформы. Наиболее опасные уязвимости этой категории были связаны с удаленным выполнением кода (RCE). Для эксплуатации большинства таких уязвимостей внешнему злоумышленнику потребовалось бы повысить свои привилегии в системе, однако уязвимости PT-2025-53467 (BDU:2025-12752) и PT-2025-53468 (BDU:2025-12753) не требовали аутентификации пользователя, что значительно упрощало успешное осуществление атаки. В итоге злоумышленник мог бы получить полный контроль над сервером», – сообщили «Газете.Ru» в Positive Technologies.
Разработчик платформы уже выпустил обновление Websoft HCM 2025.2, в котором исправлены все обнаруженные уязвимости. В Positive Technologies рекомендовали пользователям как можно быстрее обновить систему или установить соответствующие патчи.
Ранее группа компаний «Солар» зафиксировала хакерскую атаку на одну из государственных организаций, осуществленную через уязвимость в почтовом сервере Microsoft Exchange. Злоумышленники использовали эту уязвимость для доставки вредоносного ПО.
HR-директор Cisco: не стоит перегружать сотрудников из-за ИИ
