0x01 阅读须知
本文中提供的信息仅供网络安全人员用于发现或维护其负责的网站、服务器等,包括但不限于。本文禁止未经授权对计算机系统进行侵入性操作。用户应对因使用本文提供的信息而造成的任何直接或间接的后果和损失负责。本文提供的工具仅用于教育目的,不得用于任何其他目的。如有侵权,请联系我们删除。
0x02 产品概述
Honjing eHR 界面中存在SQL 注入漏洞,可能允许未经身份验证的远程攻击者与数据库xp_cmdshell 交互以执行任意命令并控制服务器。经分析判断,该漏洞利用难度较大,建议您尽快修复。
0x03 漏洞描述
SQL 注入广泛用于危害网站服务器并控制它。这是一个应用层安全漏洞。通常,如果程序存在设计缺陷,用户输入的数据将不会被过滤。因此,恶意用户可以创建在服务器上运行的SQL 语句,从而允许数据库中的数据被窃取、更改或删除。造成服务器入侵或其他危险。
福尔法
app=\’HJSOFT-HCM\’
0x04 POC利用(POC在内部星球,点击下方地址加入星球获取POC)
早加入早享受,即将涨价到169元!
#0day宏晶以上关于eHR多个新接口存在可能导致RCE命令执行的SQL注入漏洞的信息仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93077.html
