宏景eHR searchCreatPlanList.do SQL注入漏洞复现(CNVD-2025-6953)

已于 2025-03-28 19:56:23 修改
阅读量2k 收藏
点赞数 1
分类专栏: 漏洞复现v1 文章标签: 安全 web安全
于 2025-01-17 10:32:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/145200681
版权

0x01 产品简介

宏景eHR人力资源管理软件是一款专为复杂单组织或多组织客户设计的人力资源管理软件,融合了最新的互联网技术和先进的人力资源管理理念和实践。宏景eHR软件支持B/S架构,特别适合集团化管理和跨地域使用。它提供了全面的人力资源管理功能,包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助。此外,该软件还具备报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。

0x02 漏洞概述

宏景eHR  searchCreatPlanList.do 接口处存在SQL注入漏洞,,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

0x03 复现环境

FOFA:app=

了解本专栏 订阅专栏 解锁全文 超级会员免费看
宏景eHR SQL注入漏洞复现CNVD-2023-08743)
0xSec
05-30 5330
宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景eHR downloadall SQL注入漏洞复现
0xSec
02-02 439
宏景eHR downloadall接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953)
qq_43540348的博客
03-31 337
宏景人力资源管理系统是一款专业、高效的一体化HR管理平台,涵盖组织架构、招聘管理、员工档案、考勤薪资、绩效培训等核心模块,通过智能化流程与数据分析助力企业实现人力资源数字化转型升级。系统支持云端/本地部署,提供灵活配置与移动端应用,有效提升管理效率、降低人力成本,满足中大型企业复杂管理需求,同时确保数据安全与合规性。
宏景eHR 任意文件上传漏洞
holyxp的博客
07-25 1590
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
宏景eHR downlawbase SQL注入漏洞复现
qq_36334672的博客
03-30 408
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。
漏洞复现宏景ehr-hcm-view-sql注入
知黑而守白
01-09 656
宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。该漏洞具体涉及到View功能,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景ehr-hcm-SmsAcceptGSTXServlet-xxe
知黑而守白
01-26 316
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 SmsAcceptGSTXServlet 接口处存在XML实体注入漏洞,它允许攻击者通过精心构造的XML输入触发解析器的漏洞,从而可能导致敏感信息泄露或远程代码执行。
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
宏景eHR showmedia.jsp SQL注入漏洞复现
0xSec
05-28 735
宏景eHR showmedia.jsp 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
复现宏景EHR SQL注入漏洞_32
fushuang333的博客
01-29 900
复现宏景EHR SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
1day CRMEB开源电商系统 products 接口处存在SQL注入
weixin_43167326的博客
06-18 742
CRMEB开源电商系统是遥遥领先的开源电商系统,框架采用Tp6+MySQL+elementUI+uniapp,商城系统可商用;前后台都支持风格切换,包含小程序商城、H5商城、公众号商城、App,支持多语言、分销、拼团、砍价、秒杀、优惠券、积分、抽奖、会员等级、小程序直播、页面DIY,前后端分离,方便二开,使用文档、接口文档、数据字典、代码生成、二开文档/视频教程。
宏景eHR SQL 注入漏洞复现(CVE-2023-6655)
0xSec
12-11 1507
宏景eHR 中发现了一种被分类为关键的漏洞,该漏洞影响了Login Interface组件中/w_selfservice/oauthservlet/%2e../.%2e/general/inform/org/loadhistroyorgtree文件的某个未知功能。通过操纵参数parentid可能导致SQL注入攻击,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞复现宏景ehr-hcm-downlawbase-sql注入
知黑而守白
03-12 182
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 downlawbase 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
宏景eHR人力资源管理系统接口searchCreatPlanList存在SQL注入
swordheart的博客
05-20 150
宏景eHR searchCreatPlanList.do接口处存在sql注入,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该问题利用难度低,建议尽快修复。
宏景eHR sduty/getSdutyTree SQL注入漏洞复现
0xSec
07-04 930
宏景eHR /servlet/sduty/getSdutyTree 接口处存在SQL注入漏洞,,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
宏景eHr 手机App应用二次开发(图文)
小飞鱼通达 二开
06-10 1195
应用宏景eHr软件,其中将hr与通达OA进行了组织结构和人员信息的数据同步开发。在后续的使用过程中,需要使用到手机App,但是宏景的app是完全按照应用的用户数来计费,这样算下来如果使用员工自助的话会是一笔不小的费用。通过对系统进行了数据分析和研究后,进行了常用一些数据查询方面的开发,并形成手机app应用,公司领导可以随时随地查询员工的信息,快速掌握员工情况。除了app的开发,也可以采用微信的方式...
安全生产台账系统
最新发布
hanwei020502的博客
06-14 368
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值