宏景eHR getSdutyTree SQL 注入漏洞

漏洞描述

宏景eHR是由北京宏景世纪软件股份有限公司开发的一款人力资源管理软件该漏洞源于/servlet/sduty/getSdutyTree中的codeitemid参数没有严格过滤导致sql注入，攻击者可以利用这个漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限

相关漏洞推荐

CNVD-2023-08743: 宏景 eHR SQL 注入漏洞 POC

2025-09-01 | 宏景eHR

宏景人力系统存在SQL注入漏洞(CNVD-2023-08743)，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。 FOFA: body='<div...
宏景eHR /templates/attestation/../../servlet/DisplayOleContent 文件读取漏洞无POC

2025-07-08 | 宏景eHR

宏景eHR是一款人力资源管理系统。该漏洞存在于/templates/attestation/../../servlet/DisplayOleContent接口，攻击者可以通过构造恶意请求读取服务器上的...
宏景 ehr /services/HrpServices XML 外部实体注入漏洞无POC

2025-07-07 | 宏景ehr

宏景 ehr 是一款人力资源管理系统，提供全面的人力资源管理解决方案。宏景 ehr 的 /services/HrpServices 接口存在 XML 外部实体注入（XXE）漏洞，攻击者可以通过该漏洞读...
宏景eHR getHrInfoByID SQL注入漏洞无POC

2025-06-19 | 宏景eHR

宏景eHR的 getHrInfoByID方法处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。
LemonLDAP::NG 操作系统命令注入漏洞无POC

2025-09-20 00:03:21 | LemonLDAP::NG

LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...

漏洞描述

PoC代码

相关漏洞推荐

CNVD-2023-08743: 宏景 eHR SQL 注入漏洞 POC

宏景eHR /templates/attestation/../../servlet/DisplayOleContent 文件读取漏洞 无POC

宏景 ehr /services/HrpServices XML 外部实体注入漏洞 无POC

宏景eHR getHrInfoByID SQL注入漏洞 无POC

LemonLDAP::NG 操作系统命令注入漏洞 无POC

宏景eHR /templates/attestation/../../servlet/DisplayOleContent 文件读取漏洞无POC

宏景 ehr /services/HrpServices XML 外部实体注入漏洞无POC

宏景eHR getHrInfoByID SQL注入漏洞无POC

LemonLDAP::NG 操作系统命令注入漏洞无POC