Innostage выявила уязвимость в веб-приложении BPMSoft

Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, обнаружил уязвимость в веб-приложении российской платформы для автоматизации бизнеса BPMSoft. Уязвимость позволяла злоумышленникам удаленно повысить свои привилегии в системе.

Эксперты Innostage регулярно производят тестирование веб-приложений бизнеса с целью оценки их защищенности. Продукты, которые проходят через проверку — разноообразны. В их число входят как личные кабинеты пользователей, так и, например, инструменты для обработки телеметрии. 

В ходе испытаний веб-приложения BPMSoft специалисты компании выявили уязвимость. Они определили, что нарушитель с минимальными привилегиями в системе мог поставить под угрозу безопасность продукта, повысив свои привилегии до уровня администратора. Это позволяло ему получить полный доступ к веб-приложению. При определенной конфигурации системы он даже мог вызвать удаленное выполнение кода.

Данные об уязвимости  опубликованы в Банке данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю (ФСТЭК). Вендор был своевременно уведомлен. Проблемы, к которым привела уязвимость, разработчиком в настоящее время устранены. 

Пользователям рекомендуется обновить программное обеспечение до версии 1.2 или до 1.4, а также установить отдельный патч для версий 1.1 и ниже.

«Веб-приложения стали одной из основных целей злоумышленников. Они широко распространены и обладают обширным функционалом, что приводит к тому, что уязвимости в них встречаются очень часто. Мы наблюдаем значительный рост числа инцидентов, связанных с веб-приложениями, что подчеркивает необходимость усиленных мер безопасности. Защита веб-приложений критически важная задача для всех организаций, кто их использует» ,— отмечает руководитель центра компетенций тестирования на проникновение Innostage, Борисов Александр.