宏景HCM 漏洞列表

FOFA: app="HJSOFT-HCM" ZoomEye: app:"宏景 HCM"

宏景HCM系统是一款由宏景软件研发的系统，主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。宏景HCM系统的 /w_selfservice/oauthservlet/../../general/inform/org/loadhistroyorgtree 接口存在SQL注入漏洞，攻击者可以通过构造恶意SQL语句，未经授权访问数据库，获取敏感信息或对数据库进行破坏。

宏景eHR fieldsettree 接口处存在SQL注入漏洞，,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

北京宏景世纪软件股份有限公司（简称“宏景软件”）专注于国有企事业单位人力与人才管理数智化（数字化、智能化）产品的研发和应用推广。宏景HCM OfficeServer.jsp接口处存在任意文件上传漏洞，未经过身份认证的远程攻击者可利用此漏洞上传任意文件，最终可导致服务器失陷。

宏景人力资源管理系统是一款由宏景软件研发的系统。宏景HCM-downlawbase接口存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

宏景人力资源管理系统是一款由宏景软件研发的系统。宏景HCM-downlawbase接口存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

宏景OA是一款办公自动化软件，主要用于企业内部的办公流程管理和信息协同。它提供了多种功能模块，包括组织架构管理、人事管理、日程管理、公文管理、协同办公、项目管理等，可以帮助企业提高工作效率、加强信息共享和协作。宏景oa存在sql注入，攻击者可以获得大量敏感信息。

宏景OA是一款办公自动化软件，主要用于企业内部的办公流程管理和信息协同。它提供了多种功能模块，包括组织架构管理、人事管理、日程管理、公文管理、协同办公、项目管理等，可以帮助企业提高工作效率、加强信息共享和协作.宏景oa存在sql注入，攻击者可以获得敏感信息。

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在任意文件读下载漏洞。

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在任意文件读取漏洞。

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在SQL注入漏洞。未经身份验证的攻击者可利用该漏洞获取数据库敏感信息，进而登录后台。

宏景HCM基于先进的HAP平台,提供强大的个性化配置平台工具,按照人力角色及场景,以组织、岗位、人员信息及人事业务为基础,为组织提供大数据分析辅助决策。该系统OfficeServer.jsp存在任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。