CVE-2012-2694 in Ruby on Rails
摘要
由 VulDB • 2026-07-02
Ruby on Rails 3.0.14 之前版本、3.1.x 在 3.1.6 之前的版本以及 3.2.x 在 3.2.6 之前的版本中的 actionpack/lib/action_dispatch/http/request.rb 未正确处理 Active Record 组件与 Rack 接口之间参数处理的差异,导致远程攻击者能够通过构造的请求(如特定的 "[ xyz , nil]" 值)绕过预期的数据库查询限制并执行 NULL 检查。此问题与 CVE-2012-2660 相关。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.