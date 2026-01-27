Исследователи из компании Positive Technologies нашли серьезные уязвимости в российской HR-платформе Websoft HCM. Наиболее критичные баги позволяли неавторизованному атакующему захватить контроль над сервером и похитить данные.

Websoft HCM — платформа для автоматизации HR-процессов от российской компании Websoft. По данным разработчика, продуктом пользуются более 500 организаций из банковского, транспортного и энергетического секторов в России, Казахстане, Узбекистане и Беларуси.

В общей сложности Алексей Соловьев, Никита Свешников, Владимир Власов и Николай Арчаков обнаружили 33 уязвимости в Websoft HCM 2025.1 (PT-2025-53458 – PT-2025-53490). Оценки по шкале CVSS варьировались от 4,1 до максимальных 10,0 баллов.

Часть проблем затрагивала серверную часть платформы, а наиболее опасные уязвимости относились к классу удаленного выполнения кода (RCE). Большинство таких багов требовали повышенных привилегий для эксплуатации, но две уязвимости — PT-2025-53467 и PT-2025-53468 — работали без аутентификации, что значительно упрощало атаку и давало злоумышленнику полный контроль над сервером.

Кроме того, отмечается, что цепочка из нескольких багов открывала возможность для социальной инженерии. Атакующий мог внедрить вредоносный код на страницы Websoft HCM или создать фишинговые ссылки, чтобы перенаправить на них жертву, в итоге похитив персональные и учетные данные.

Исследователи уведомили вендора о проблемах в рамках политики ответственного раскрытия уязвимостей. Сообщается, что разработчики Websoft оперативно исправили уязвимости в версии 2025.2. Компаниям, использующим платформу, рекомендуют как можно скорее установить это обновление.

Алексей Соловьев, руководитель группы экспертизы отдела анализа защищенности веб-приложений Positive Technologies, комментирует:

«Недостатки защиты, подобные найденным на платформе Websoft HCM, могут присутствовать в коде даже самого опытного программиста. Причина часто кроется в том, что вопросы безопасности не всегда очевидны при разработке без специализированных подходов и инструментов. Сотрудничество с вендором в рамках политики ответственного разглашения — это стандарт индустрии, который позволяет оперативно закрывать потенциальные векторы атак до их возможной эксплуатации. Чтобы снизить риск взлома, пользователям важно следить за актуальностью версий используемого ПО: обновление может нести в себе не только дополнительную функциональность, но и исправление уязвимостей, в том числе критически опасных».

Алексей Попов, руководитель команды разработки Websoft HCM, отметил: