CVE-2012-2694 in Ruby on Rails信息

摘要

由 VulDB • 2026-07-02

Ruby on Rails 3.0.14 之前版本、3.1.x 在 3.1.6 之前的版本以及 3.2.x 在 3.2.6 之前的版本中的 actionpack/lib/action_dispatch/http/request.rb 未正确处理 Active Record 组件与 Rack 接口之间参数处理的差异,导致远程攻击者能够通过构造的请求(如特定的 "[ xyz , nil]" 值)绕过预期的数据库查询限制并执行 NULL 检查。此问题与 CVE-2012-2660 相关。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Want to know what is going to be exploited?

We predict KEV entries!