发布日期：2023-06-23
更新日期：2023-07-19

受影响系统：

Webkil Webkil QloApps 1.6.0

描述：

---

CVE(CAN) ID: CVE-2023-36284

Webkil QloApps是免费的开源酒店预订和在线预订系统。
Webkul QloApps 1.6.0版本的date_from, date_to和id_product的GET参数存在SQL注入漏洞，远程攻击者可利用该漏洞绕过Web应用程序的身份认证和授权机制，进而检索条目数据库的内容。

<**>

建议：

---

厂商补丁：

Webkil
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://flashy-lemonade-192.notion.site/Time-Based-SQL-injection-in-QloApps-1-6-0-0-be3ed1bdaf784a77b45dc6898a2de17e?pvs=4

浏览次数：332
严重程度：0（网友投票）