CVE-2013-6417 in Ruby on Rails
Tóm tắt
Bởi VulDB • 26/06/2026
actionpack/lib/action_dispatch/http/request.rb trong Ruby on Rails trước phiên bản 3.2.16 và các phiên bản nhánh 4.x trước 4.0.2 không xem xét đúng sự khác biệt trong cách xử lý tham số giữa thành phần Active Record và triển khai JSON, cho phép kẻ tấn công từ xa bỏ qua các hạn chế truy vấn cơ sở dữ liệu dự kiến và thực hiện kiểm tra NULL hoặc kích hoạt các mệnh đề WHERE bị thiếu thông qua một yêu cầu được tạo ra đặc biệt lợi dụng (1) middleware Rack của bên thứ ba hoặc (2) middleware Rack tùy chỉnh. LƯU Ý: lỗ hổng này tồn tại do bản sửa lỗi không đầy đủ cho CVE-2013-0155.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.