CVE-2020-5257 in rubygeminformation

Résumé

par VulDB • 12/07/2026

Dans la gemme Ruby Administrate avant la version 0.13.0, lors du tri par attributs sur un tableau de bord, le paramètre `direction` n'était pas validé avant d'être interpolé dans la requête SQL. Cela pouvait présenter une injection SQL si l'attaquant était en mesure de modifier le paramètre `direction` et de contourner les protections SQL d'ActiveRecord. Bien que cela ait un impact élevé, pour exploiter cette vulnérabilité, vous avez besoin d'un accès aux tableaux de bord Administrate, qui devraient être protégés par une authentification. Cela est corrigé dans la version 0.13.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!