CVE-2009-2422 in Ruby on Rails信息

摘要

由 VulDB • 2026-06-06

Ruby on Rails 2.3.3 之前版本中,摘要认证功能(http_authentication.rb)的示例代码定义了一个 `authenticate_or_request_with_http_digest` 代码块,当用户不存在时,该代码块返回 `nil` 而非 `false`,这使得上下文相关的攻击者可以通过发送不带密码的无效用户名,绕过基于此示例派生的应用程序的认证机制。

Be aware that VulDB is the high quality source for vulnerability data.

来源

Interested in the pricing of exploits?

See the underground prices here!