【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

admin 2023年5月12日08:45:17评论371 views字数 667阅读2分13秒阅读模式

北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

宏景人力资源管理系统是一款由北京宏景世纪软件股份有限公司研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。

近日,CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)的通告,目前供应商发布了安全公告及相关补丁信息,修复了此漏洞。

https://www.cnvd.org.cn/flaw/show/CNVD-2023-08743

漏洞描述

由于系统未对用户的输入进行合理的处理,导致该系统存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

对攻击者来说,此漏洞的利用无需认证和鉴权,可通过该漏洞获取系统数据和用户数据,登录后台。

漏洞级别

高危

影响范围

最新版本以前的所有版本

资产排查

body='<div class="hj-hy-all-one-logo"'

【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

web.body="<div class="hj-hy-all-one-logo""

【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

修复方案

更新官方最新版本升级补丁。

官方地址

http://www.hjsoft.com.cn/

【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

原文始发于微信公众号(利刃信安攻防实验室):【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月12日08:45:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)https://cn-sec.com/archives/1728815.html

发表评论

匿名网友 填写信息