宏景eHR LoadOtherTreeServlet SQL注入漏洞(QVD-2024-25239)

北京赛克艾威科技有限公司 2024-07-04

漏洞编号：暂无
漏洞等级：严重
漏洞标签：POC公开、影响万级、关键漏洞
发布时间：2024-07-04

漏洞描述

宏景eHR软件中的LoadOtherTreeServlet接口存在SQL注入漏洞。攻击者可以通过构造特定的HTTP GET请求，向该接口注入恶意SQL代码。由于该漏洞未进行适当的输入验证和过滤，攻击者可以利用它来操纵数据库查询，获取、篡改或删除数据库中的敏感信息，甚至可能通过数据库的操作系统命令执行功能来控制服务器。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/358569

宏景eHR LoadOtherTreeServlet SQL注入漏洞(QVD-2024-25239)

漏洞描述

修复建议

参考链接

联系方式

信息安全产品

信息安全服务

信息安全服务

信息安全培训

关于我们