宏景人力资源信息管理系统 漏洞列表

该漏洞存在于宏景EHR人力资源管理系统的 khfieldtree接口处，该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句，成功注入并执行恶意数据库操作，可能导致敏感信息泄露、数据库被篡改或其他严重后果。

宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞，可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。 FOFA: app="HJSOFT-HCM" ZoomEye: app:"宏景 HCM"

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

宏景人力资源管理系统是一款由宏景软件研发的系统。该产品系统灵活支持单位、部门、岗位的多层级架构管理与灵活调整，该款产品目前在国内拥有大量的使用量，宏景人力资源管理系统uploadLogo存在任意文件上传漏洞，未经身份验证的远程攻击者可上传任意文件获取服务器权限。

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。

鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制，获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中，使得未经授权的用户能够访问或操作敏感数据、执行关键操作，甚至获取系统控制权。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

宏景HCM系统是一款由宏景软件研发的系统，主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。  宏景HCM系统 ajaxService处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制，就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果，给系统安全性带来极大威胁。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

宏景人力资源信息管理系统 /servlet/sys/option/customreport/tree 存在SQ注入漏洞

宏景人力资源信息管理系统LoadOtherTreeServlet存在SQL注入漏洞。

宏景人力资源信息管理系统 downloadall SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景人力资源信息管理系统存在 showmediainfo SQL注入漏洞

宏景人力资源信息管理系统 report_org_collect_tree.jsp SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景人力资源信息管理系统 getSdutyTree 存在SQL注入漏洞。

宏景人力资源信息管理系统 DownLoadCourseware 任意文件读取漏洞

宏景人力资源信息管理系统 fieldsettree 存在SQL注入漏洞。

宏景人力资源信息管理系统loadtree存在SQL注入漏洞。

宏景人力资源信息管理系统 downlawbase SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

宏景人力资源信息管理系统 /servlet/DisplayExcelCustomReport 路径存在任意文件读取，攻击者可利用该漏洞获取敏感信息。

/

/

/

/

/

/

/

/

宏景人力资源信息系统 ajaxService 存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景e-HR 2020中发现了一个被列为严重的漏洞。受此问题影响的是文件/w_selfservice/oauthservlet/%2e./.%2e/general/inform/org/loadhistroyorgtree的一些未知功能 组件登录界面。 对参数parentid 的操作会导致sql 注入。 攻击可能是远程发起的。 该漏洞已向公众披露并可能被使用。 VDB-247358 是分配给此漏洞的标识符。

宏景人力资源信息系统 /servlet/DisplayFiles 存在任意文件读取漏洞，攻击者可利用该漏洞获取敏感信息。

宏景人力资源信息系统 /servlet/DisplayOleFile 存在任意文件读取漏洞，攻击者可利用该漏洞读取系统文件获取敏感信息。

宏景人力资源信息系统 trainplan_tree.jsp 存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景人力资源信息系统 get_org_tree.jsp 存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景OA-KhFieldTree注入漏洞，攻击者可构造恶意请求获取系统信息，造成数据系统及其它安全风险。

宏景人力资源信息系统 upload 存在文件上传漏洞，攻击者可利用该漏洞获取服务器权限。

宏景HR系统DisplayCustomerReportExcelFile接口存在任意文件读取漏洞

宏景 HCM-openFile-文件读取

宏景 HCM-OutputCode-文件读取

宏景HR系统 /servlet/sms/SmsAcceptGSTXServlet XML实体注入

宏景HCM是一款全面的人力资源管理软件产品，旨在帮助企业提高人力资源管理效率和员工体验，实现人力资源数字化转型。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

宏景人力资源管理系统 OfficeServer.jsp 存在任意文件上传漏洞

宏景HCM的Xfire webservice存在xxe漏洞，xxe可以当作ssrf使用，可以探测本地开放端口，可以读文件列目录，结合%2e%2e权限绕过以及Axis 本地AdminService可以部署恶意服务造成远程代码执行漏洞