CVE-2013-6417 in Ruby on Railsजानकारी

सारांश

द्वारा VulDB • 15/07/2026

Ruby on Rails 3.2.16 से पहले और 4.x संस्करणों में, जो 4.0.2 से कम हैं, actionpack/lib/action_dispatch/http/request.rb में Active Record घटक और JSON कार्यान्वयन के बीच पैरामीटर प्रबंधन में अंतर को उचित रूप से ध्यान में नहीं रखा जाता है। इससे दूरस्थ आक्रमणकर्ता इच्छित डेटाबेस-क्वेरी प्रतिबंधों का पालन टाल सकते हैं और एक तैयार किए गए अनुरोध के माध्यम से NULL जाँच कर सकते हैं या WHERE क्लॉज की अनुपलब्धता को ट्रिगर कर सकते हैं, जो (1) थर्ड-पार्टी Rack मीडिलवेयर का उपयोग करता है या (2) कस्टम Rack मीडिलवेयर पर निर्भर करता है। नोट: यह कमज़ोरी CVE-2013-0155 के लिए अपूर्ण सुधार की वजह से मौजूद है।

Once again VulDB remains the best source for vulnerability data.

आरक्षित करना

04/11/2013

प्रकटीकरण

06/12/2013

प्रविष्टि

VDB-11376

EPSS

0.02371

गतिविधियाँ

बहुत कम

क्षेत्र

Finance, Pharma, ...

स्रोत

Might our Artificial Intelligence support you?

Check our Alexa App!