[未公开0day]宏景HCM人力资源信息管理系统存在前台RCE

最新推荐文章于 2024-11-04 22:38:56 发布
最新推荐文章于 2024-11-04 22:38:56 发布
阅读量874 收藏
点赞数 22
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/140172299
版权

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

payload就放在星球了,欢迎各位师傅来白嫖,看上眼的话可以留下试试。

漏洞简介

宏景人力资源管理系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。攻击者可直接通过前台RCE获取服务器权限。

漏洞复现

加入星球可看详情

LiangYueSec
关注
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1340
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞,攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
宏景HCM人力资源信息管理系统fieldsettree接口SQL注入
weixin_43567873的博客
03-05 170
宏景HCM人力资源信息管理系统fieldsettree接口SQL注入
1day CRMEB开源电商系统 products 接口处存在SQL注入
weixin_43167326的博客
06-18 591
CRMEB开源电商系统是遥遥领先的开源电商系统,框架采用Tp6+MySQL+elementUI+uniapp,商城系统可商用;前后台都支持风格切换,包含小程序商城、H5商城、公众号商城、App,支持多语言、分销、拼团、砍价、秒杀、优惠券、积分、抽奖、会员等级、小程序直播、页面DIY,前后端分离,方便二开,使用文档、接口文档、数据字典、代码生成、二开文档/视频教程。
【漏洞复现】宏景HCM人力资源信息管理系统——LoadOtherTreeServlet——SQL注入
LongL_GuYu的博客
07-13 616
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其`LoadOtherTreeServlet`接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
1day速达软件NET接口处存在RCE漏洞
weixin_43167326的博客
05-07 867
速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
【漏洞复现】宏景HCM人力资源信息管理系统——getSdutyTree——SQL注入
LongL_GuYu的博客
07-08 1111
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其getSdutyTree接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
人力资源管理信息系统源码
02-04
人力资源管理信息系统源码解析与应用》 在信息化飞速发展的今天,人力资源管理信息系统(HRMIS)已经成为企业高效运营的重要工具。本文将围绕“人力资源管理信息系统源码”这一主题,深入探讨其核心功能、设计...
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
【漏洞复现】宏景ehr-hcm-loadhistroyorgtree-sql注入
知黑而守白
01-09 465
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在宏景EHR人力资源管理系统的 loadhistroyorgtree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
管理信息系统案例分析_宏景软件2019人力资源管理信息化实战案例全国巡展首场活动顺利告捷...
weixin_39827306的博客
11-24 337
4月12日,以“数字人力·变革创新”为主题的高校人力资源管理信息化实战案例交流会在有着英雄城美誉的南昌隆重召开。来自江西省内的50多所高校人事处及现教中心老师齐聚江西中医药大学,共同探讨高校人力资源管理信息化发展大势。本次会议由宏景软件与江西中医药大学联合主办,会上江西中医药大学人事处孙涛科长、江西航空职业技术学院信息中心陈健、宏景软件副总裁刘红梅、宏景软件e-HR研究院院长夏广阔等嘉宾...
通达OA 从OA查询宏景人力资源系统中绩效工资审批情况(图文)
小飞鱼通达 二开
02-17 1496
应用了宏景人力资源管理系统后,工资模块一直在推进中,工资这部分确实复杂主要是涉及到的部门比较多实施起来需要多方的沟通协调。每个月在系统中需要部门经理做绩效部分的数据录入,宏景系统中只有管理员和企管部能查到数据的录入状态,其他人也不方便催促各部门经理来录入数据也不知道到底录到什么情况,很容易导致数据录入不及时而延误工资发放。为了辅助各部门考勤人提醒部门经理及时上报数据,编写了一个查询程序,来连接宏景
宏景customreport-SQL注入漏洞
weixin_43167326的博客
04-11 1080
宏景人力资源系统是一款先进且功能丰富的人力资源管理软件,旨在为企业提供全面、高效的人力资源管理解决方案。该系统结合了最新的互联网技术和先进的人力资源管理理念,特别适用于复杂单组织或多组织客户,尤其是集团化管理和跨地域使用的场景。宏景人力资源系统的主要功能包括但不限于人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理。此外,该系统还支持人事、绩效、培训、招聘、考勤等业务的自助操作,为用户提供了极大的便利。
ICT网络赛道安全考点知识总结4
m0_72765822的博客
11-04 547
RADIUS和HWTACACS协议通常都使用共享密钥对传输的用户信息进行加密,以确保安全传输。 用来封装EAP报文的RADIUS属性通常是"EAP-Message",它用于传输EAP认证过程中的消息。 LDAP的域名属性通常是"DC"(Domain Component),用于表示域名的组成部分。 BFD(Bidirectional Forwarding Detection)可以用于检测网络设备之间直连物理链路的双向转发路径的故障,但也可以用于检测其他类型的链路故障。 管理员为虚拟系统手工分配资源时,
挂钩图像分割安全状态与危险状态识别系统:更新创新流程
lzmlzm89的博客
11-02 891
数据集信息展示在本研究中,我们使用了名为“test1”的数据集,以支持改进YOLOv8-seg的挂钩图像分割安全状态与危险状态识别系统的训练与验证。该数据集专门设计用于处理与安全相关的图像分类任务,旨在提高系统对不同安全状态的识别能力,从而为实际应用提供更为精准的安全监测解决方案。“test1”数据集包含三种主要类别,分别为“安全状态”、“危险状态_1”和“危险状态_2”。这些类别的选择反映了在实际应用中可能遇到的多样化安全场景,能够有效地模拟和识别不同的安全与危险状态。
【论文速读】| APILOT:通过避开过时API陷阱,引导大语言模型生成安全代码
m0_73736695的博客
11-01 1139
论文提出了一种名为APILOT的系统,它通过实时更新过时API的数据集,并结合增强生成方法,引导LLMs生成版本感知的安全代码。
如何在Linux系统中使用SSH进行安全连接
qq_36287830的博客
10-30 523
SSH是一个网络协议,用于计算机之间的安全登录以及命令执行,此外还允许进行安全的数据传输。通过本文,你已经学习了如何在Linux系统中使用SSH进行安全连接。我们介绍了SSH的基本概念、安装方法、启动SSH服务、验证安装、SSH配置、SSH客户端、SSH密钥认证、使用SSH隧道、SSH端口转发、使用SSH代理、SSH环境变量、SSH日志、SSH守护进程选项、使用SSH密钥管理工具、使用SSH证书、使用SSH网关、SSH的高级特性等内容。
高级Python自动化运维:容器安全与网络策略的深度解析
最新发布
weixin_52392194的博客
11-04 833
网络策略是用来定义Pod间通信的规则。通过制定网络策略,可以限制特定Pod的入站和出站流量。Kubernetes中的NetworkPolicy是实现这一目标的主要工具。
2024年【危险化学品经营单位安全管理人员】试题及解析及危险化学品经营单位安全管理人员作业考试题库
weixin_53351316的博客
11-01 499
在危险化学品经营单位中,安全管理人员的职责至关重要。他们不仅需要掌握全面的安全知识,还需要通过严格的考试来验证其专业能力。为了帮助广大考生顺利通过考试,安全生产模拟考试一点通平台发布了2024年危险化学品经营单位安全管理人员试题及解析。以下是精心挑选的十道试题,带解析及答案,同时我们也会简要介绍全国各省安全员C证题库的相关情况。
宏景eHR人力资源数据库设计与人员信息管理
"宏景eHR数据字典是关于人力资源管理(HRP)系统的一个数据库设计方案,主要用于存储和管理企业内部的机构、职位和人员信息。它支持多种数据库平台,包括Access、SQL Server和Oracle。数据结构包括主集和子集,以适应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值