Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/01/2013
Es podria permetre a atacants remots realitzar atacs d’injecció SQL per mitjà de la crida al mètode find_by_id a través d’un paràmetre modificat, amb el coneixement previ del valor emmagatzemat en secret_token.
Es permet a atacants remots executar comandaments SQL a través d’una sol·licitud modificada de buscadors dinàmics en aplicacions que poden utilitzar les crides al mètode find_by_.
CVE-2012-6496, CVE-2012-6497
Solució:El fabricant ha posat a disposició de l'usuari una actualització que posa fi a les dites vulnerabilitats.
Notes:[rubyonrails-security] 20130102 SQL Injection Vulnerability in Ruby on Rails (CVE-2012-5664)
https://groups.google.com/group/rubyonrails-security/msg/23daa048baf28b64?dmode=source&output=gplain
[oss-security] 20130103 Re: SQL Injection Vulnerability in Ruby on Rails (CVE-2012-5664)
http://openwall.com/lists/oss-security/2013/01/03/12