Ruby on Rail Authlogic gem 信息泄漏洞 CVE-2012-6497 CNNVD-201301-063

5.0 AV AC AU C I A
发布: 2013-01-04
修订: 2023-05-19

Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails 3.2.10之前版本中的Authlogic gem中存在漏洞,该漏洞源于使用潜在的不安全find_by_id方法调用。通过在已知secret_token值的环境下特制的参数(如开源产品中的secret_token.rb值),远程攻击者利用该漏洞进行SQL注入攻击。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有147条受影响产品信息