超级会员免费看
免责声明
仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
一:产品介绍
宏景人力资源管理系统是一款专业、高效的一体化HR管理平台,涵盖组织架构、招聘管理、员工档案、考勤薪资、绩效培训等核心模块,通过智能化流程与数据分析助力企业实现人力资源数字化转型升级。系统支持云端/本地部署,提供灵活配置与移动端应用,有效提升管理效率、降低人力成本,满足中大型企业复杂管理需求,同时确保数据安全与合规性。
二:漏洞描述
宏景人力资源管理系统(HCM)的 searchCreatPlanList.do 接口存在 SQL注入漏洞,攻击者可利用该漏洞构造恶意请求,向数据库注入非法SQL指令,从而窃取、篡改或删除敏感数据(如员工信息、薪资记录等)。该漏洞可能由于未对用户输入进行严格过滤或参数化查询导致,属于高危安全风险,建议企业及时更新补丁或采取防护措施(如WAF、输入校验等)以避免数据泄露风险。
三:复现环境
app="HJSOFT-HCM"
四:漏洞复现
POC如下
订阅专栏 解锁全文
扫一扫
1019
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
