11.07.2025 · новости

Экспертом СайберОК была обнаружена уязвимость в Websoft HCM — популярной платформе для автоматизации HR-процессов. В ней выявлена уязвимость, связанная с возможностью перебора пользователей (CWE-204).

На радарах СКИПА зафиксировано более 1 700 экземпляров Websoft HCM, из которых более 340 подвержены данной уязвимости.
Пользователи СКИПА PentOps были уведомлены об уязвимости 27 мая.

Отличие в ответах сервера позволяет злоумышленнику осуществлять перебор существующих пользователей, что раскрывает конфиденциальную информацию и упрощает атаки типа password spraying и фишинг.

• СОК-2025-05-06 / BDU:2025-06206
• CVSS – 5.3 (средний уровень опасности)
• Уязвимы версии до: 2025.1.1206 / 2025.2.1206

Рекомендуем обновить ПО до одной из версий с фиксом.

Ссылки
• Информация об устранении уязвимости в версии 2025.1.1206
• Информация об устранении уязвимости в версии 2025.2.1206
• Реестр Минцифры