北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）

宏景人力资源管理系统是一款由北京宏景世纪软件股份有限公司研发的系统，主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备了报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。

近日，CNVD平台发布了北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞（CNVD-2023-08743）的通告，目前供应商发布了安全公告及相关补丁信息，修复了此漏洞。

https://www.cnvd.org.cn/flaw/show/CNVD-2023-08743

漏洞描述

由于系统未对用户的输入进行合理的处理，导致该系统存在SQL注入漏洞。攻击者可利用该漏洞获取数据库敏感信息。

对攻击者来说，此漏洞的利用无需认证和鉴权，可通过该漏洞获取系统数据和用户数据，登录后台。

漏洞级别

高危

影响范围

最新版本以前的所有版本

资产排查

body='<div class="hj-hy-all-one-logo"'

web.body="<div class=\"hj-hy-all-one-logo\""

修复方案

更新官方最新版本升级补丁。

官方地址

http://www.hjsoft.com.cn/