Innostage выявила уязвимость в веб-приложении BPMSoft
Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, обнаружил уязвимость в веб-приложении российской платформы для автоматизации бизнеса BPMSoft. Уязвимость позволяла злоумышленникам удаленно повысить свои привилегии в системе.
Эксперты Innostage регулярно производят тестирование веб-приложений бизнеса с целью оценки их защищенности. Продукты, которые проходят через проверку, разнообразны. В их число входят как личные кабинеты пользователей, так и, например, инструменты для обработки телеметрии.
В ходе испытаний веб-приложения BPMSoft специалисты компании выявили уязвимость. Они определили, что нарушитель с минимальными привилегиями в системе мог поставить под угрозу безопасность продукта, повысив свои привилегии до уровня администратора. Это позволяло ему получить полный доступ к веб-приложению. При определенной конфигурации системы он даже мог вызвать удаленное выполнение кода.
Данные об уязвимости опубликованы в Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). Вендор был своевременно уведомлен, утверждают в Innostage. Проблемы, к которым привела уязвимость, разработчиком в настоящее время устранены.
Пользователям рекомендуется обновить программное обеспечение до версии 1.2 или до 1.4, а также установить отдельный патч для версий 1.1 и ниже.
«Веб-приложения стали одной из основных целей злоумышленников. Они широко распространены и обладают обширным функционалом, что приводит к тому, что уязвимости в них встречаются очень часто. Мы наблюдаем значительный рост числа инцидентов, связанных с веб-приложениями, что подчеркивает необходимость усиленных мер безопасности. Защита веб-приложений – критически важная задача для всех организаций, кто их использует», – отметил руководитель центра компетенций тестирования на проникновение Innostage Александр Борисов.