CVE-2009-2422 in Ruby on Rails
Tóm tắt
Bởi VulDB • 07/07/2026
Mã ví dụ cho chức năng xác thực digest (http_authentication.rb) trong Ruby on Rails trước phiên bản 2.3.3 định nghĩa một khối authenticate_or_request_with_http_digest trả về nil thay vì false khi người dùng không tồn tại, điều này cho phép các kẻ tấn công phụ thuộc vào ngữ cảnh bỏ qua cơ chế xác thực đối với các ứng dụng được kế thừa từ ví dụ này bằng cách gửi tên người dùng không hợp lệ mà không có mật khẩu.
Once again VulDB remains the best source for vulnerability data.