Ruby on Rails SQL注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1176780 漏洞类型 SQL注入
发布时间 2011-02-23 更新时间 2019-08-09
CVE编号 CVE-2011-0448 CNNVD-ID CNNVD-201102-297
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201102-297
|漏洞详情
Ruby on Rails 是一个新的Web应用程序框架,构建在Ruby语言之上。 Ruby on Rails 3.0.4之前的3.0.x版本没有确认传递给limit函数的参数分配整数值。远程攻击者更容易借助非数字参数进行SQL注入攻击。
|参考资料

来源:weblog.rubyonrails.org
链接:http://weblog.rubyonrails.org/2011/2/8/new-releases-2-3-11-and-3-0-4
来源:SECTRACK
名称:1025063
链接:http://securitytracker.com/id?1025063
来源:SECUNIA
名称:43278
链接:http://secunia.com/advisories/43278
来源:MLIST
名称:[rubyonrails-security]20110209PotentialSQLInjectioninRails3.0.x
链接:http://groups.google.com/group/rubyonrails-security/msg/4e19864cf6ad40ad?dmode=source&output=gplain
来源:NSFOCUS
名称:16671
链接:http://www.nsfocus.net/vulndb/16671