Ruby on Rails ‘ctive Record’组件SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1169807 漏洞类型 SQL注入
发布时间 2013-01-05 更新时间 2019-08-09
CVE编号 CVE-2012-6496 CNNVD-ID CNNVD-201301-062
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201301-062
|漏洞详情
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails 3.0.18之前版本、3.1.9之前的3.1.x版本、3.2.10之前的3.2.x版本中的Active Record组件中存在SQL注入漏洞。通过利用某find_by_ method调用中非预期的数据类型的应用程序中的动态查找器的不正确行为,远程攻击者利用该漏洞执行任意SQL命令。
|参考资料

来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=889649
来源:MLIST
名称:[rubyonrails-security]20130102SQLInjectionVulnerabilityinRubyonRails(CVE-2012-5664)
链接:https://groups.google.com/group/rubyonrails-security/msg/23daa048baf28b64?dmode=source&output=gplain
来源:blog.phusion.nl
链接:http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/