宏景eHR showmediainfo SQL注入漏洞复现

已于 2024-04-04 16:49:53 修改
阅读量381 收藏
点赞数
分类专栏: 漏洞复现 文章标签: sql web安全 安全
于 2024-04-04 16:49:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/137377386
版权
本文介绍了宏景eHR人力资源管理软件中showmediainfo接口存在的SQL注入漏洞,该漏洞允许未认证攻击者执行任意SQL命令,获取数据库敏感信息。复现环境为FOFA标记的HJSOFT-HCM应用,通过PoC和特定工具可复现该问题。建议关闭接口的公共访问或加强权限控制,并及时安装厂商提供的安全补丁。
摘要由CSDN通过智能技术生成

0x01 产品简介

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。

0x02 漏洞概述

宏景eHR showmediainfo接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。

0x03 复现环境

FOFA:app="HJSOFT-HCM"

0x04 漏洞复现

PoC

GET /workbench/duty/showmediainfo?kind=0&usernumber&
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现宏景eHR showmediainfo SQL注入漏洞
qq_67810151的博客
04-20 306
宏景eHR /workbench/duty/showmediainfo接口存在SQL注入漏洞,攻击者可以通过该漏洞构造sql语句获取数据库信息。
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1154
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
漏洞复现宏景HCM-LoadOtherTreeServlet SQL注入
weixin_54799594的博客
07-11 1134
漏洞复现过程记录
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 2171
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
漏洞复现宏景HCM人力资源信息管理系统——LoadOtherTreeServlet——SQL注入
最新发布
LongL_GuYu的博客
07-13 505
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其`LoadOtherTreeServlet`接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
漏洞复现宏景HCM人力资源信息管理系统——getSdutyTree——SQL注入
LongL_GuYu的博客
07-08 935
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其getSdutyTree接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
宏景eHR LoadOtherTreeServlet SQL注入漏洞复现
0xSec
07-04 570
宏景eHR LoadOtherTreeServlet 接口处存在SQL注入漏洞,,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
宏景eHR fileDownLoad SQL注入漏洞复现
0xSec
01-10 796
宏景eHR fileDownLoad 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息
宏景eHR FrCodeAddTreeServlet SQL注入漏洞复现(含nuclei-POC)
m0_50797689的博客
01-29 408
宏景eHR FrCodeAddTreeServlet SQL注入漏洞复现(含nuclei-POC)
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞(1)
2401_84183451的博客
04-12 384
p204888 (备注大数据获取)**[外链图片转存中…(img-CAGbODpK-1712871727780)]
宏景-ehr-hcm frcodeaddtreeservlet sql注入(含批量验证poc)
weixin_43567873的博客
04-09 42
宏景-ehr-hcm frcodeaddtreeservlet sql注入(含批量验证poc)
宏景-showmediainfo-mssql-delay-sql注入漏洞
weixin_43167326的博客
04-03 645
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
宏景eHR downlawbase SQL注入漏洞复现
qq_36334672的博客
03-30 295
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
0xSec
05-30 4979
宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
【1day】宏景OA get_org_tree.jsp接口SQL注入漏洞学习
记录并分享学习安全的知识点..
11-02 453
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA get_org_tree.jsp存在接口SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1288
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞,攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
漏洞复现-宏景HJSOFT系列
aming小老弟
03-15 1341
宏景HCM--------------------------------------------fofa:app=“HJSOFT-HCM”
宏景eHR SQL 注入漏洞复现(CVE-2023-6655)
0xSec
12-11 1298
宏景eHR 中发现了一种被分类为关键的漏洞,该漏洞影响了Login Interface组件中/w_selfservice/oauthservlet/%2e../.%2e/general/inform/org/loadhistroyorgtree文件的某个未知功能。通过操纵参数parentid可能导致SQL注入攻击,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值