Ruby on Rails ‘ctive Record’组件SQL注入漏洞 CVE-2012-6496 CNNVD-201301-062
7.5
AV
AC
AU
C
I
A
发布:
2013-01-04
修订:
2019-08-08
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails 3.0.18之前版本、3.1.9之前的3.1.x版本、3.2.10之前的3.2.x版本中的Active Record组件中存在SQL注入漏洞。通过利用某find_by_ method调用中非预期的数据类型的应用程序中的动态查找器的不正确行为,远程攻击者利用该漏洞执行任意SQL命令。
漏洞利用/PoC
当前有2条漏洞利用/PoC
受影响的平台与产品
当前有84条受影响产品信息
