Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/01/2013
Se podría permitir a atacantes remotos realizar ataques de inyección SQL mediante la llamada al método find_by_id a través de un parámetro modificado, previo el conocimiento del valor almacenado en secret_token.
Se permite a atacantes remotos ejecutar comandos SQL a través de una solicitud modificada de buscadores dinámicos en aplicaciones que pueden utilizar las llamadas al método find_by_.
CVE-2012-6496, CVE-2012-6497
Solución:El fabricante ha puesto a disposición del usuario una actualización que pone fin a dichas vulnerabilidades.
Notas:[rubyonrails-security] 20130102 SQL Injection Vulnerability in Ruby on Rails (CVE-2012-5664)
https://groups.google.com/group/rubyonrails-security/msg/23daa048baf28b64?dmode=source&output=gplain
[oss-security] 20130103 Re: SQL Injection Vulnerability in Ruby on Rails (CVE-2012-5664)
http://openwall.com/lists/oss-security/2013/01/03/12