CVE-2020-5257 in rubygem
Riassunto
di VulDB • 12/07/2026
In Administrate (rubygem) prima della versione 0.13.0, durante l'ordinamento per attributi su una dashboard, il parametro `direction` non veniva convalidato prima di essere interpolato nella query SQL. Ciò potrebbe presentare un rischio di SQL injection se l'attaccante fosse in grado di modificare il parametro `direction` e aggirare le protezioni SQL di ActiveRecord. Sebbene ciò abbia un impatto elevato, per sfruttare questa vulnerabilità è necessario avere accesso alle dashboard di Administrate, che ci si aspetta siano protette da autenticazione. Questo problema è stato risolto nella versione 0.13.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.