CVE-2020-5257 in rubygem
Résumé
par VulDB • 12/07/2026
Dans la gemme Ruby Administrate avant la version 0.13.0, lors du tri par attributs sur un tableau de bord, le paramètre `direction` n'était pas validé avant d'être interpolé dans la requête SQL. Cela pouvait présenter une injection SQL si l'attaquant était en mesure de modifier le paramètre `direction` et de contourner les protections SQL d'ActiveRecord. Bien que cela ait un impact élevé, pour exploiter cette vulnérabilité, vous avez besoin d'un accès aux tableaux de bord Administrate, qui devraient être protégés par une authentification. Cela est corrigé dans la version 0.13.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.