跳至主內容

Ruby on Rails 多個漏洞

最後更新 2013年01月10日 10:42 發佈日期: 2013年01月10日 2298 觀看次數

風險: 高度風險

類型: 伺服器 - 互聯網應用伺服器

類型: 互聯網應用伺服器

在 Ruby on Rails 發現多個漏洞。遠端使用者可利用漏洞產生不安全查詢、繞過保安系統、插入 SQL 指令、插入並執行任意程式碼及導致阻斷服務。

  1. 遠端使用者可透過提供特製數據,利用 Active Record 檢查漏洞及 JSON 參數編譯錯誤,執行
    包含 "IS NULL" 或空白 where 子句的數據庫查詢。
  2. 由於編譯參數的程式碼不恰當把數值由字串轉換成某些數據類型,攻擊者可利用漏洞控制目標 Rails 應用程式。

影響

  • 跨網站指令碼
  • 阻斷服務
  • 遠端執行程式碼
  • 繞過保安限制

受影響之系統或技術

  • 2.3.15、3.0.19、3.1.10 及 3.2.11 之前的版本

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。


漏洞識別碼


資料來源


相關連結