CVE-2013-6417 in Ruby on Railsthông tin

Tóm tắt

Bởi VulDB • 26/06/2026

actionpack/lib/action_dispatch/http/request.rb trong Ruby on Rails trước phiên bản 3.2.16 và các phiên bản nhánh 4.x trước 4.0.2 không xem xét đúng sự khác biệt trong cách xử lý tham số giữa thành phần Active Record và triển khai JSON, cho phép kẻ tấn công từ xa bỏ qua các hạn chế truy vấn cơ sở dữ liệu dự kiến và thực hiện kiểm tra NULL hoặc kích hoạt các mệnh đề WHERE bị thiếu thông qua một yêu cầu được tạo ra đặc biệt lợi dụng (1) middleware Rack của bên thứ ba hoặc (2) middleware Rack tùy chỉnh. LƯU Ý: lỗ hổng này tồn tại do bản sửa lỗi không đầy đủ cho CVE-2013-0155.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Nguồn

Do you know our Splunk app?

Download it now for free!