发布于周五 14:575天前 漏洞详情:【宏景HR系统SQL注入漏洞】(https://stack.chaitin.com/vuldb/detail?id=d9dbe920-46b9-47eb-91b2-a10892a250ea) 宏景人力资源管理系统是宏景软件开发的系统。主要功能包括人事、组织架构、档案、合同、工资、保险、绩效、考勤、招聘、培训、干部任免、人事流程等管理,以及人事、绩效、培训、招聘、考勤等自助业务。它还具有报表功能和灵活的表单工具,支持群体控制、目标管理、领导决策等应用。 长汀应急团队检测到CNVD平台发布公告称北京宏景世纪软件有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743),目前供应商已发布安全公告及相关补丁信息修复该漏洞。 对漏洞进行分析后发现,公网中还存在很多未修复的漏洞。根据该漏洞原理,长汀应急小组编写了X-RAY远程检测工具和本地检测工具供大家下载使用。同时,本文还提供了对资产进行故障排除的方法。 **远程检测工具**: 复制链接:https://stack.chaitin.com/tool/detail?id=1 前往xray - CT Stack 安全社区下载最新版本的xray。 执行:/xray ws --poc poc-yaml-hjsoft-hcm-codesettree-serlvet-categories-sqli --url http://example.com 进行扫描。 ## 漏洞描述 由于系统没有正确处理用户输入,导致系统存在SQL注入漏洞。攻击者可以利用此漏洞获取敏感数据库信息。 对于攻击者来说,利用该漏洞不需要身份验证和认证。他们可以利用该漏洞获取系统数据和用户数据并登录后端。 ## 影响范围 最新版本之前的所有版本 ## 资产检查 body_string='div class=\'hj-hy-all-one-logo\'' ## 解决方案 安装官方安全补丁 ## 产品支持 云图:默认支持本产品的指纹识别,也支持该漏洞的PoC原理检测。 雷驰:已经发布了虚拟补丁来支持该漏洞的检测。 完整信息:已发布升级包,支持检测该漏洞的利用情况。 洞察:已发布自定义POC 来支持此漏洞检测。 ## 参考链接 [http://www.hjsoft.com.cn/](http://www.hjsoft.com.cn/)
创建帐户或登录后发表意见