Ruby on Rails Active Record组件SQL注入漏洞(CVE-2012-6496)

2013-01-0500:00:00

Root

www.seebug.org

EPSS

0.004

Percentile

75.2%

JSON

CVE ID:CVE-2012-6496

Ruby on Rails是一款Web应用程序框架，构建在Ruby语言之上。
Ruby on Rails Active Record组件存在一个SQL注入漏洞，允许攻击者利用"find_by_*"方法进行SQL注入攻击，可获得敏感信息或控制应用系统。
0
Ruby on Rails 3.0.x
Ruby on Rails 3.1.x
Ruby on Rails 3.2.x
厂商解决方案

Ruby on Rails 3.0.18，3.1.9和3.2.10已经修复此漏洞，建议用户下载使用：
http://www.ruby-lang.org