宏景ehr 漏洞列表

宏景人力系统 存在SQL注入漏洞(CNVD-2023-08743)，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。 FOFA: body='<div class="hj-hy-all-one-logo"'

宏景eHR是一款人力资源管理系统。该漏洞存在于/templates/attestation/../../servlet/DisplayOleContent接口，攻击者可以通过构造恶意请求读取服务器上的任意文件，可能导致敏感信息泄露。

宏景 ehr 是一款人力资源管理系统，提供全面的人力资源管理解决方案。宏景 ehr 的 /services/HrpServices 接口存在 XML 外部实体注入（XXE）漏洞，攻击者可以通过该漏洞读取服务器上的敏感文件或执行其他恶意操作，从而对系统的安全性造成威胁。

宏景eHR的 getHrInfoByID方法处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

宏景eHR HrpService存在SQL注入漏洞，攻击者可利用此漏洞获取数据库敏感信息。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

宏景eHR人力资源管理软件是一款人力资源管理Q与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。宏景eHR /templates/attestation/../../hire/zp_options/get_org_tree.jsp接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

宏景eHR DisplayFiles接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等，导致网站处于极度不安全状态。

宏景eHR OutputCode接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等，导致网站处于极度不安全状态。

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。宏景eHR LoadOtherTreeServlet 接口处存在SQL注入漏洞，未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。

宏景存在SQL注入漏洞，此漏洞是由于 ajaxService 对请求中的参数数据验证不足导致的。

宏景存在SQL注入漏洞，此漏洞是由于 ajaxService 对请求中的参数数据验证不足导致的。

宏景eHR是由北京宏景世纪软件股份有限公司开发的一款人力资源管理软件该漏洞源于/servlet/sduty/getSdutyTree中的codeitemid参数没有严格过滤导致sql注入，攻击者可以利用这个漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限

宏景eHR存在任意文件读取漏洞，该漏洞是由于DownLoadCourseware接口对用户发送的请求验证不当导致的。

宏景eHR存在任意文件读取漏洞，该漏洞是由于OutputCode接口对用户发送的请求验证不当导致的。

宏景eHR中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入fieldsettree的数据所导致的。

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。宏景eHR openFile.jsp 接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

宏景eHR人力资源管理系统中存在SQL注入漏洞，此漏洞是由于程序未充分验证用户输入oauthservlet的数据所导致的。

宏景eHR人力资源管理系统中存在目录遍历漏洞，此漏洞是由于程序未充分验证用户输入oauthservlet的数据所导致的。

宏景eHR中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入fileDownLoad的数据所导致的。

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。宏景eHR /w_selfservice/oauthservlet/%2e./.%2e/DownLoadCourseware 接口处存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

宏景人力资源管理系统是一款由宏景软件研发的系统。宏景eHRDownLoadCourseware存在任意文件读取漏洞，未经身份验证的远程攻击者可获取服务器内部文件配置

宏景人力资源管理系统是一款由宏景软件研发的系统。宏景eHR getSdutyTree 存在SQL注入漏洞，未经身份验证的远程攻击者可获取数据库敏感信息，

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在任意文件读取漏洞。

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在任意文件读取漏洞。

宏景人力资源管理系统是一款由宏景软件研发的系统。由于系统未对用户的输入进行合理的处理，导致该系统存在任意文件读取漏洞。

宏景OA是宏景信息系统技术有限公司开发的一款办公自动化系统。该系统可以帮助企业实现流程审批、协同工作、文档管理、移动办公等功能，从而提高工作效率和协作效率。宏景oa存在sql注入漏洞，攻击者可以获取大量数据库信息。

宏景 eHR中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入tree接口的数据所导致的。

/

/

宏景eHR中存在安全绕过漏洞，此漏洞是由于应用程序对attestationURL中的数据验证不足导致的。

宏景eHR showmediainfo 接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息

宏景eHRreport_org_collect_tree.jsp接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

宏景eHR中存在SQL注入漏洞，此漏洞是由于未充分验证用户输入fileDownLoad的数据所导致的。

宏景eHR fieldsettree 接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行，导致参数中的特殊字符破坏了SQL语句原有逻辑，攻击者可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

宏景ehr基于先进的HAP平台,提供强大的个性化配置平台工具,按照人力角色及场景,以组织、岗位、人员信息及人事业务为基础,为组织提供大数据分析辅助决策。宏景eHR存在SQL注入，攻击者可利用此漏洞获取数据库内容。

宏景ehr基于先进的HAP平台,提供强大的个性化配置平台工具,按照人力角色及场景,以组织、岗位、人员信息及人事业务为基础,为组织提供大数据分析辅助决策。宏景eHRfileDownLoad 存在SQL注入，攻击者可利用此漏洞获取数据库内容。

宏景ehr基于先进的HAP平台,提供强大的个性化配置平台工具,按照人力角色及场景,以组织、岗位、人员信息及人事业务为基础,为组织提供大数据分析辅助决策。该系统OfficeServer.jsp存在任意文件上传漏洞，攻击者可通过该漏洞获取服务器权限。