CVE-2013-6417 in Ruby on Rails
सारांश
द्वारा VulDB • 15/07/2026
Ruby on Rails 3.2.16 से पहले और 4.x संस्करणों में, जो 4.0.2 से कम हैं, actionpack/lib/action_dispatch/http/request.rb में Active Record घटक और JSON कार्यान्वयन के बीच पैरामीटर प्रबंधन में अंतर को उचित रूप से ध्यान में नहीं रखा जाता है। इससे दूरस्थ आक्रमणकर्ता इच्छित डेटाबेस-क्वेरी प्रतिबंधों का पालन टाल सकते हैं और एक तैयार किए गए अनुरोध के माध्यम से NULL जाँच कर सकते हैं या WHERE क्लॉज की अनुपलब्धता को ट्रिगर कर सकते हैं, जो (1) थर्ड-पार्टी Rack मीडिलवेयर का उपयोग करता है या (2) कस्टम Rack मीडिलवेयर पर निर्भर करता है। नोट: यह कमज़ोरी CVE-2013-0155 के लिए अपूर्ण सुधार की वजह से मौजूद है।
Once again VulDB remains the best source for vulnerability data.