Эксперты Positive Technologies помогли исправить уязвимости в HR-платформе Websoft HCM

Эксперты Positive Technologies Алексей Соловьев, Никита Свешников, Владимир Власов и Николай Арчаков обнаружили ряд уязвимостей в российской платформе для HR-автоматизации Websoft HCM. До исправления недостатки безопасности могли позволить нарушителю похитить данные с платформы и захватить контроль над сервером. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и оперативно выпустил обновление ПО. Об этом CNews сообщили представители Positive Technologies.

Платформа Websoft HCM входит в экосистему цифровых продуктов для HR, созданную российской компанией Websoft. Согласно информации на сайте вендора, его сервисы регулярно применяют более 500 организаций из банковского сектора, транспортной и энергетической отраслей, а также из других сфер экономики. Помимо России, платформа используется в Казахстане, Узбекистане и Белоруссии.

Уязвимостям PT-2025-53458–PT-2025-53490 (BDU:2025-12743–BDU:2025-12775) было присвоено от 4,1 до максимально возможных 10,0 балла по шкале CVSS 3.1. Дефекты безопасности содержались в Websoft HCM 2025.1. Ряд найденных брешей мог быть использован для атак на серверную часть платформы. Самые опасные уязвимости этой категории были связаны с удаленным выполнением кода (RCE). Для эксплуатации большинства таких недостатков безопасности внешнему нарушителю необходимо было бы повысить привилегии в системе, однако уязвимости PT-2025-53467 (BDU:2025-12752) и PT-2025-53468 (BDU:2025-12753) не требовали аутентификации пользователя, что существенно упрощало проведение успешной атаки. В результате злоумышленник мог бы получить полный контроль над сервером.

Кроме того, нарушитель мог бы использовать цепочку из нескольких ошибок для реализации социотехнических атак. Внедрив вредоносный код на определенные страницы Websoft HCM или сформировав для платформы вредоносные ссылки, злоумышленник смог бы перенаправить на них пользователя, чтобы похитить его персональные и учетные данные.

Чтобы оставаться защищенными, компаниям необходимо в кратчайшие сроки обновить Websoft HCM до актуальной версии или воспользоваться патчем.

«Недостатки защиты, подобные найденным на платформе Websoft HCM, могут присутствовать в коде даже самого опытного программиста. Причина часто кроется в том, что вопросы безопасности не всегда очевидны при разработке без специализированных подходов и инструментов. Сотрудничество с вендором в рамках политики ответственного разглашения — это стандарт индустрии, который позволяет оперативно закрывать потенциальные векторы атак до их возможной эксплуатации, — сказал Алексей Соловьев, руководитель группы экспертизы отдела анализа защищенности веб-приложений, Positive Technologies. — Чтобы снизить риск взлома, пользователям важно следить за актуальностью версий используемого ПО: обновление может нести в себе не только дополнительную функциональность, но и исправление уязвимостей, в том числе критически опасных».

«Безопасность данных наших клиентов — абсолютный приоритет для Websoft. Мы благодарны команде Positive Technologies за профессионально выполненный анализ защищенности нашей платформы и конструктивное сотрудничество, — отметил Алексей Попов, руководитель команды разработки Websoft HCM. — Websoft HCM как enterprise-решение, используемое для управления важными HR-данными в крупнейших российских компаниях, предоставляет открытый API и low-code-инструменты, что предъявляет повышенные требования к контролю безопасности. Мы проводим регулярные аудиты безопасности и оперативно выпускаем обновления, все обнаруженные экспертами Positive Technologies уязвимости были устранены в версии 2025.2. Мы рекомендуем нашим клиентам оперативно обновить систему и продолжаем инвестировать в усиление защиты платформы на всех уровнях».

Продвинутые продукты классов NTA/NDR детектируют попытки эксплуатации данных уязвимостей, а продукты класса NGFW, такие как PT NGFW, блокируют их. Находить уязвимости еще на стадии разработки поможет статистический анализатор кода. Чтобы снизить риски эксплуатации дефектов безопасности, используйте средства защиты информации класса EDR и межсетевые экраны уровня веб-приложений.

Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.