Home

Description

EN DE

A vulnerability was found in HJSoft HCM Human Resources Management System up to 20250822. Affected by this vulnerability is an unknown functionality of the file /templates/attestation/../../selfservice/lawresource/downlawbase. Performing manipulation of the argument ID results in sql injection. Remote exploitation of the attack is possible. The exploit has been made public and could be used. The vendor was contacted early about this disclosure but did not respond in any way.

Eine Schwachstelle wurde in HJSoft HCM Human Resources Management System bis 20250822 gefunden. Es geht um eine nicht näher bekannte Funktion der Datei /templates/attestation/../../selfservice/lawresource/downlawbase. Durch Manipulation des Arguments ID mit unbekannten Daten kann eine sql injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Der Exploit wurde der Öffentlichkeit bekannt gemacht und könnte verwendet werden.

PUBLISHED Reserved 2025-09-09 | Published 2025-09-10 | Updated 2025-09-10 | Assigner VulDB




MEDIUM: 5.3CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
MEDIUM: 6.3CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
MEDIUM: 6.3CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R
6.5AV:N/AC:L/Au:S/C:P/I:P/A:P/E:POC/RL:ND/RC:UR

Problem types

SQL Injection

Injection

Product status

20250822
affected

Timeline

2025-09-09:Advisory disclosed
2025-09-09:VulDB entry created
2025-09-09:VulDB entry last update

Credits

MHKD (VulDB User) reporter

References

vuldb.com/?id.323236 (VDB-323236 | HJSoft HCM Human Resources Management System downlawbase sql injection) vdb-entry technical-description

vuldb.com/?ctiid.323236 (VDB-323236 | CTI Indicators (IOB, IOC, TTP, IOA)) signature permissions-required

vuldb.com/?submit.639745 (Submit #639745 | 北京宏景世纪软件股份有限公司 宏景HCM人力资源管理系统 未知 Use of Java I/O) third-party-advisory

github.com/...统downlawbase接口存在SQL注入漏洞.md exploit

cve.org (CVE-2025-10197)

nvd.nist.gov (CVE-2025-10197)

Download JSON