漏洞标题
N/A
漏洞描述信息
在 Ruby on Rails 4.2.x 之前版本(4.2.7.1 之前)的 Action Record 未正确考虑 Active Record 组件和 JSON 实现之间的参数处理差异,这导致远程攻击者可以通过创建的请求来绕过预期的数据查询限制,并进行 NULL 检查或触发缺失的 WHERE 子句。例如,某些 "[nil]" 值证明了这个问题,与 CVE-2012-2660、CVE-2012-2694 和 CVE-2013-0155 相关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Action Record in Ruby on Rails 4.2.x before 4.2.7.1 does not properly consider differences in parameter handling between the Active Record component and the JSON implementation, which allows remote attackers to bypass intended database-query restrictions and perform NULL checks or trigger missing WHERE clauses via a crafted request, as demonstrated by certain "[nil]" values, a related issue to CVE-2012-2660, CVE-2012-2694, and CVE-2013-0155.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby on Rails Active Record 安全漏洞
漏洞描述信息
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Action Record是其中的一个负责与数据库通信的ORM(一种对象关系映射程序技术)组件。 Ruby on Rails 4.2.7.1之前的4.2.x版本中的Action Record中存在安全漏洞,该漏洞源于程序没有正确考虑Active Record组件和JSON实现过程之间参数处理的差别。
CVSS信息
N/A
漏洞类别
代码问题