文章总结： 红海云eHR系统存在SQL注入漏洞，位于/RedseaPlatform/BossIndex.mob接口，攻击者可通过构造恶意SQL语句获取数据库敏感信息或执行任意SQL命令。漏洞特征可通过FOFA搜索body=’/RedseaPlatform/skins/images/favicon.ico’识别，使用时间盲注POC验证，建议及时更新到最新版本以修复此漏洞。 综合评分： 82 文章分类： 漏洞分析,WEB安全,漏洞POC,应用安全,漏洞预警

红海云eHR /RedseaPlatform/BossIndex.mob SQL 注入漏洞

原创

小橘安全屋

小橘安全屋

2025年12月8日 16:45 湖南

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。如有侵权请联系删除。

漏洞说明：

红海云eHR 是一款企业人力资源管理系统。该漏洞存在于 /RedseaPlatform/BossIndex.mob 接口中，攻击者可以通过构造恶意的SQL语句注入，获取数据库中的敏感信息或执行任意SQL命令。

漏洞类型：

数据注入

漏洞特征：

FOFA:body="/RedseaPlatform/skins/images/favicon.ico"

渗透过程：

通过漏洞特征在FOFA找到目标

通过POC进行时间盲注，回显时间>5

修复建议：

及时更新到最新版本

#

查看原文：《红海云eHR /RedseaPlatform/BossIndex.mob SQL 注入漏洞》