宏景 eHR /services/HrChangeInfoService XML 外部实体注入漏洞

影响产品：宏景-eHR CVSS：6.5 漏洞类型：XML外部实体注入 漏洞描述： HJSOFT eHR是宏景软件推出的人力资源管理系统，提供人事管理、薪酬管理、考勤管理、绩效管理等核心功能，广泛应用于企事业单位的人力资源信息化建设。HJSOFT eHR /services/HrChangeInfoService 接口存在XML外部实体注入漏洞，攻击者可通过构造恶意XML实体发起SSRF攻击或读取服务器敏感文件。 影响： HJSOFT eHR存在XML外部实体注入漏洞。攻击者可利用该漏洞发起SSRF攻击探测内网服务，或读取服务器敏感文件，可能导致信息泄露和系统沦陷。 修复建议： 1、禁用XML外部实体引用（LIBXML_DISABLE_ENTITY_LOADER）。2、使用简单的XML解析器，禁用DTD解析。3、白名单验证XML输入。4、过滤用户输入中的XML关键字。 FOFA： (title="人力资源信息管理系统" && body="src=\"/images/hcm/copyright.gif\"") || body="src=\"/images/hcm/themes/default/login/login_banner2.png?v=12334\"" || body="src=\"/general/sys/hjaxmanage.js\"" || body="宏景软件 版权所有</div>" || banner="templates/index/hcmlogon.jsp"