高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞

admin
admin
admin
139250
文章
114
评论
2024年12月27日12:25:20评论26 views字数 751阅读2分30秒阅读模式
简介
高校人力资源管理系统通过在线化管理实现了招聘全流程的高效操作,包括职位发布、简历筛选、面试安排、候选人状态跟踪及录用通知等功能。该系统提高了招聘工作的效率和精准度,简化了传统招聘流程。
高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞
漏洞描述
高校人力资源管理系统的ReportServer接口存在敏感信息泄露漏洞,攻击者可以利用该漏洞获取账号、密码等敏感数据。
fofa语法
body="FM_SYS_ID"||body="product/recruit/website/RecruitIndex.jsp"
漏洞复现
具体poc详情请在公众号知识星球获取
GET xxx HTTP/1.1Host: ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Priority: u=1
高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞
批量检测(批量检测POC工具请在公众号知识星球获取):
高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞
修复建议
打补丁

原文始发于微信公众号(白帽攻防):【漏洞复现】高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月27日12:25:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞https://cn-sec.com/archives/3560162.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息