漏洞描述
RuvarHRM 采用基于 IE 浏览器的 B/S 构造,以人员管理、考勤管理、薪资管理、招聘管理、培训管理、协议管理、社保福利、缋效考核、报表中心为关键功能模块,是企业领导、HR 经理和员工全员参与的,可多层次管理的集团版eHR 系统使用RuvarHRM的系统,在/ajaxpro/RuvarHRM.Web.Common.get_account_by_tree,RuvarHRM.Web.Common.文件的strIF参数,存在sql注入注漏洞,攻击者通过此漏洞可以获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),若在高权限的情况还可向服务器中写入木马,进一步获取服务器系统权限。