宏景 ehr /services/HrpService getHolidayMsg XML 外部实体注入漏洞

影响产品：宏景 ehr CVSS：6.5 漏洞类型：XML外部实体注入 漏洞描述： 宏景 ehr 是一款人力资源管理系统，提供全面的人力资源管理解决方案。宏景 ehr 的 /services/HrpServices 接口 getHolidayMsg 方法存在 XML 外部实体注入（XXE）漏洞，攻击者可以通过该漏洞读取服务器上的敏感文件或执行其他恶意操作，从而对系统的安全性造成威胁。 影响： 该 XML 外部实体注入（XXE）漏洞可让攻击者构造恶意 XML 请求触发服务器解析外部实体，迫使服务器向指定地址发起恶意请求，额外消耗服务器计算资源，对服务器稳定性造成潜在威胁。 修复建议： 应急可限制漏洞接口访问 IP、配置 WAF 拦截 XXE 特征请求；根治需禁用 XML 外部实体解析，优先用 JSON 替代 XML 传输数据，升级泛微及 XML 解析库版本；长期需给服务器账户最小权限、开启日志审计、定期扫描，官方用户建议优先使用厂商修复补丁。 FOFA： (title="人力资源信息管理系统" && body="src=\"/images/hcm/copyright.gif\"") || body="src=\"/images/hcm/themes/default/login/login_banner2.png?v=12334\"" || body="src=\"/general/sys/hjaxmanage.js\"" || body="宏景软件 版权所有</div>" || banner="templates/index/hcmlogon.jsp"