发布日期：2013-10-09
更新日期：2013-11-08

受影响系统：

appRain apprain 3.0.2

描述：

---

BUGTRAQ  ID: 62937
CVE(CAN) ID: CVE-2013-6058

appRain是构建Web应用的平台。

appRain 3.0.2及其他版本存在SQL注入漏洞，攻击者可利用此漏洞破坏应用，执行未授权数据库操作。此漏洞源于附加到"/blog-by-cat/" URL的用户数据没有被正确验证。

<*来源：High-Tech Bridge Security Research Lab
  
  链接：http://seclists.org/bugtraq/2013/Nov/25
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/blog-by-cat/1%20and%20substring(version(),1,1)=5/

建议：

---

厂商补丁：

appRain
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.apprain.com/

浏览次数：2740
严重程度：0（网友投票）