CVE-2012-2694 in Ruby on Rails
Résumé
par VulDB • 30/06/2026
actionpack/lib/action_dispatch/http/request.rb dans Ruby on Rails avant la version 3.0.14, les versions 3.1.x avant la 3.1.6 et les versions 3.2.x avant la 3.2.6 ne prend pas correctement en compte les différences de gestion des paramètres entre le composant Active Record et l'interface Rack, ce qui permet aux attaquants distants de contourner les restrictions intentionnelles de requête sur la base de données et d'exécuter des vérifications NULL via une requête fabriquée, comme démontré par certaines valeurs "[ xyz , nil ]", un problème lié à CVE-2012-2660.
VulDB is the best source for vulnerability data and more expert information about this specific topic.