本文介绍了宏景eHR软件的FrCodeAddTreeServlet接口存在的SQL注入漏洞,无需身份验证的攻击者可以利用此漏洞执行任意SQL命令,获取服务器敏感信息。复现过程包括使用FOFA搜索和Nuclei-POC。建议限制/servlet/FrCodeAddTreeServlet路由的访问IP来修复问题。
免责声明 由于传播、利用本优快云所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。
二、漏洞描述
宏景eHR FrCodeAddTreeServlet 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。
三、漏洞危害
未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。
四、漏洞复现
FOFA:app="HJSOFT-HCM"
POC如下
POST 
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
