Ruby on Rail Authlogic gem 信息泄漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1169805 漏洞类型 信息泄露
发布时间 2013-01-05 更新时间 2019-08-09
CVE编号 CVE-2012-6497 CNNVD-ID CNNVD-201301-063
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201301-063
|漏洞详情
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails 3.2.10之前版本中的Authlogic gem中存在漏洞,该漏洞源于使用潜在的不安全find_by_id方法调用。通过在已知secret_token值的环境下特制的参数(如开源产品中的secret_token.rb值),远程攻击者利用该漏洞进行SQL注入攻击。
|参考资料

来源:phenoelit.org
链接:http://phenoelit.org/blog/archives/2012/12/21/let_me_github_that_for_you/index.html
来源:MLIST
名称:[oss-security]20130103Re:SQLInjectionVulnerabilityinRubyonRails(CVE-2012-5664)
链接:http://openwall.com/lists/oss-security/2013/01/03/12
来源:blog.phusion.nl
链接:http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/