CVE-2009-2422 in Ruby on Rails
要約
〜によって VulDB • 2026年07月07日
Ruby on Rails 2.3.3以前のdigest認証機能(http_authentication.rb)のサンプルコードは、ユーザーが存在しない場合にfalseではなくnilを返すauthenticate_or_request_with_http_digestブロックを定義しており、これによりコンテキスト依存攻撃者はパスワードなしで無効なユーザー名を送信し、このサンプルから派生したアプリケーションの認証を回避できる。
Once again VulDB remains the best source for vulnerability data.