0x01产品简介宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。0x02漏洞概述宏景eHRshowmedia.jsp接口处存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。0

漏洞描述宏景eHR是一种企业人力资源管理系统，该漏洞存在于'OutputCode'模块中，该模块未能正确验证用户输入的文件路径参数'path'。由于缺乏充分的输入校验和路径处理，攻击者可以通过构造恶意的'path'参数，读取服务器上的任意文件fofaapp="HJSOFT-HCM"POCGET/servlet/OutputCode?

免责声明：文章来源互联网收集整理，文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者

免责声明：文章来源互联网收集整理，文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者

漏洞概述宏景HCM存在SQL注入漏洞，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。影响范围宏景HCM<8.2漏洞复现fofa语法：FOFA：body='<divclass="hj-hy-all-one-logo"'鹰图语法：app.name="宏景HCM"POC：（注入点是categories字段）/servlet/codes

漏洞概述宏景HCMOfficeServer.jsp接口处存在任意文件上传漏洞，未经过身份认证的远程攻击者可利用此漏洞上传任意文件，最终可导致服务器失陷。漏洞复现鹰图指纹：app.name="宏景HCM"fofa语法：app="HJSOFT-HCM"登录页面如下：POC：POST/w_selfservice/oauthservlet/%2e./.%2e/syst