CVE-2009-2422 in Ruby on Rails
Résumé
par VulDB • 07/07/2026
Le code d'exemple pour la fonctionnalité d'authentification par condensé (http_authentication.rb) dans Ruby on Rails avant la version 2.3.3 définit un bloc authenticate_or_request_with_http_digest qui renvoie nil au lieu de false lorsque l'utilisateur n'existe pas, ce qui permet aux attaquants dépendant du contexte de contourner l'authentification des applications dérivées de cet exemple en envoyant un nom d'utilisateur invalide sans mot de passe.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.