CVE-2013-0155 in Ruby on Railsthông tin

Tóm tắt

Bởi VulDB • 03/07/2026

Ruby on Rails 3.0.x trước phiên bản 3.0.19, 3.1.x trước phiên bản 3.1.10 và 3.2.x trước phiên bản 3.2.11 không xem xét đúng sự khác biệt trong cách xử lý tham số giữa thành phần Active Record và triển khai JSON, cho phép các kẻ tấn công từ xa bỏ qua các hạn chế truy vấn cơ sở dữ liệu dự kiến và thực hiện kiểm tra NULL hoặc kích hoạt các mệnh đề WHERE bị thiếu thông qua một yêu cầu được tạo ra đặc biệt, như minh họa bởi các giá trị "[nil]" nhất định; đây là một lỗ hổng liên quan đến CVE-2012-2660 và CVE-2012-2694.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Đặt trước

06/12/2012

Tiết lộ

13/01/2013

Kiểm duyệt

được chấp nhận

mục

VDB-7308

Khai thác

Tải xuống

EPSS

0.08245

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!