Специалисты BI.ZONE обнаружили пять уязвимостей в версии платформы Websoft HCM 2019.2.3 (ранее — WebTutor). Websoft HCM представляет собой систему для создания корпоративных HR‑порталов и автоматизации бизнес‑процессов, связанных с управлением персоналом. Данные были переданы разработчикам, после чего было выпущено обновление с исправлением самой критичной уязвимости — уязвимости нулевого дня. Для остальных четырёх уязвимостей исправления были выпущены ранее и в актуальных версиях ПО не могут быть проэкплуатированы, рассказали информационной службе Хабра в пресс-службе ИБ-компании.
BI.ZONE передала информацию о найденных уязвимостях во ФСТЭК России для регистрации их в Банке данных угроз безопасности информации, где им были присвоены следующие шифры:
BDU:2024–00 878 имеет 9,9 из 10 баллов по шкале оценки уязвимостей CVSS. Эта критическая уязвимость нулевого дня позволяет аутентифицированным пользователям выполнять произвольные команды в системе. Атакующий, получивший доступ к учётной записи пользователя, может получить полный доступ к серверу и, следовательно, к конфиденциальным данным и информации. Уязвимость актуальна для версий до Websoft HCM 2023.1.827;
BDU:2024–00 755 также имеет 9,9 из 10 баллов по шкале CVSS. Эта уязвимость позволяет злоумышленнику внедрить произвольный код, который будет выполнен веб‑приложением. В отличие от BDU:2024–00 878, эта уязвимость затрагивает только старые версии продукта — до Websoft HCM 2022.1.3.451;
BDU:2023–08 666 получила 7,5 из 10 баллов по шкале CVSS. С помощью этой уязвимости злоумышленник может создать новую учётную запись пользователя даже без достаточных привилегий. При совместной эксплуатации BDU:2023–08 666 и одной из двух предыдущих уязвимостей киберпреступники могут захватить сервер жертвы без учётной записи в системе. Уязвимость актуальна для всех версий до Websoft HCM 2020.4.3 (266) REL;
BDU:2024–00 756 также имеет 7,5 из 10 баллов по шкале CVSS. Уязвимость позволяет читать файлы, хранящиеся в файловой системе веб‑сервера. Она возникает в случаях, когда приложение использует недоверенные пользовательские данные в качестве пути к запрашиваемому файлу без проведения проверок. Этой уязвимости подвержены версии программы до Websoft HCM 2022.1.3.451;
BDU:2024–00 757 получила 5,4 из 10 баллов по шкале CVSS. Уязвимость может использоваться для выполнения произвольного вредоносного кода в контексте браузера жертвы. Для проведения атаки необходимо спровоцировать жертву перейти по ссылке. В результате у атакующего сможет менять содержимое отображаемых веб‑страниц, перехватывать сессии пользователя и выполнять запросы от его имени. Уязвимость затрагивает версии до Websoft HCM 2022.1.3.451.
Уязвимости BDU:2023–08 666, BDU:2024–00 756 и BDU:2024–00 757 также опасны тем, что могут быть проэксплуатированы внешним атакующим без наличия учётной записи в системе.
