【漏洞通告】某海云eHR系统pc.mob接口SQL注入漏洞

原创 常行安服团队 常行科技 2024-08-30 21:20

某海
eHR
系统，聚焦人力资源管理痛点，打破传统
eHR
系统各功能模块数据割裂局限，为企业打造数据一体化、流程一体化、终端一体化的智能互联人力资源管理解决方案，构建业务闭环流畅、全局数据贯通、系统高度集成、权限规范可控的一站式人力资源管理数字化平台。

漏洞概述
漏洞名称	某海云eHR系统pc.mob接口SQL注入漏洞
公开时间	2024-08-20	影响量级	万级
风险评级	高危	CVSS 3.1分数	–
威胁类型	SQL注入	利用可能性	高
POC状态	已公开	在野利用状态	有
EXP状态	已公开	技术细节状态	已公开

漏洞详情

Vulnerability Details 

0x00

• 漏洞描述

近日，互联网披露某海云eHR系统pc.mob接口存在SQL注入漏洞的情报，该平台接口/RedseaPlatform/goApp/pc.mob存在sql注入，攻击者可利用此漏洞获取敏感信息，对系统造成危害。

常行安服团队分析并复现此漏洞，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护

受影响范围

Affected Version 

0x01

某海云eHR

修复方案

Solutions 

0x02
– 临时解决方案

1.加强系统和网络的访问控制，修改防火墙策略，不将非必要服务暴露于公网;

2.如果目前无法升级，若业务环境允许，使用白名单限制应用服务端口的访问来降低风险;

3.定期对服务器上的网站后门文件进行及时查杀。

• 解决方案

目前官方已发布漏洞修复版本，建议用户升级到安全版本。

漏洞复现/验证

Reproduction 

0x03

服务器响应成功延迟3秒。

the end

常行科技是一家专注于网络安全解决方案和运营服务
的“专精特新”企业，粤港澳专精特新标杆企业 TOP100，国家级高新技术企业，国家级科技型中小企业，广东省创新型中小企业，立志深耕于网络安全服务领域，是网络安全运营服务PTM理论
的首创者。

自建网络安全攻防实验室“大圣·攻防实验室(DS-Lab)”，专注于最新的网络攻防技术研究、安全人才培养、客户环境模拟、安全产品研发、应急演练模拟、安全技术培训等。与鹏城实验室深入合作，共建鹏城靶场常行科技分靶场。大圣·攻防实验室“行者战队”近年来多次参加国内外的实战攻防演练及比赛，并取得优秀战果。

常行科技三大服务体系、六大场景化解决方案多维度为客户提供最适合自身需求的高性价比网络安全解决方案，低成本、高质量地帮助客户解决网络和数据安全相关问题。

有常行，更安全

---

常为而不置

常行而不休

了解更多咨询请关注公众号