BI.ZONE сообщила о пяти уязвимостях в Websoft HCM

Специалисты BI.ZONE обнаружили пять уязвимостей в версии платформы Websoft HCM 2019.2.3 (ранее — WebTutor). Websoft HCM представляет собой систему для создания корпоративных HR‑порталов и автоматизации бизнес‑процессов, связанных с управлением персоналом. Данные были переданы разработчикам, после чего было выпущено обновление с исправлением самой критичной уязвимости — уязвимости нулевого дня. Для остальных четырёх уязвимостей исправления были выпущены ранее и в актуальных версиях ПО не могут быть проэкплуатированы, рассказали информационной службе Хабра в пресс-службе ИБ-компании.

BI.ZONE передала информацию о найденных уязвимостях во ФСТЭК России для регистрации их в Банке данных угроз безопасности информации, где им были присвоены следующие шифры:

BDU:2024–00 878 имеет 9,9 из 10 баллов по шкале оценки уязвимостей CVSS. Эта критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Атакующий, получивший доступ к учётной записи пользователя, может получить полный доступ к серверу и, следовательно, к конфиденциальным данным и информации. Уязвимость актуальна для версий до Websoft HCM 2023.1.827;

BDU:2024–00 755 также имеет 9,9 из 10 баллов по шкале CVSS. Эта уязвимость позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб‑приложением. В отличие от BDU:2024–00 878, эта уязвимость затрагивает только старые версии продукта — до Websoft HCM 2022.1.3.451;

BDU:2023–08 666 получила 7,5 из 10 баллов по шкале CVSS. С помощью этой уязвимости злоумышленник может создать новую учётную запись пользователя даже без достаточных привилегий. При совместной эксплуатации BDU:2023–08 666 и одной из двух предыдущих уязвимостей киберпреступники могут захватить