Ruby on Rails爆SQL注入漏洞,影响所有版本
程序员文章站
2022-04-17 20:45:42
...
近日,Ruby on Rails的Active Record模块被爆出存在一个SQL注入漏洞(CVE-2012-5664),所有版本均受到影响。
描述
鉴于Active Record中动态查找器从方法参数中提取选项的方式,导致方法参数可能会被错误地当成作用域来使用。攻击者可以通过发起特定的请求,利用作用域来注入任意SQL。
受影响的代码会将用户提供的数据传递到动态查找器,例如:Post.find_by_id(params[:id])
可以通过将参数明确转换到预期的值来暂时缓解该问题,比如:将 Post.find_by_id(params[:id]) 更改为 Post.find_by_id(params[:id].to_s) 。但无法从根本上解决问题,建议所有Rails用户尽快升级至如下版本:
详细漏洞信息:Rails SQL injection vulnerability
Via Google Groups
描述
鉴于Active Record中动态查找器从方法参数中提取选项的方式,导致方法参数可能会被错误地当成作用域来使用。攻击者可以通过发起特定的请求,利用作用域来注入任意SQL。
受影响的代码会将用户提供的数据传递到动态查找器,例如:Post.find_by_id(params[:id])
可以通过将参数明确转换到预期的值来暂时缓解该问题,比如:将 Post.find_by_id(params[:id]) 更改为 Post.find_by_id(params[:id].to_s) 。但无法从根本上解决问题,建议所有Rails用户尽快升级至如下版本:
详细漏洞信息:Rails SQL injection vulnerability
Via Google Groups
下一篇: 各种球类之间互为偶像