CVE-2009-2422 in Ruby on Rails
요약
\~에 의해 VulDB • 2026. 07. 03.
Ruby on Rails 2.3.3 이전 버전의 digest 인증 기능(http_authentication.rb) 예제 코드는 사용자가 존재하지 않을 때 false 대신 nil을 반환하는 authenticate_or_request_with_http_digest 블록을 정의합니다. 이로 인해 컨텍스트 의존적 공격자는 비밀번호 없이 유효하지 않은 사용자 이름을 전송하여 이 예제를 기반으로 파생된 애플리케이션의 인증을 우회할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.