JVNDB-2013-001006

Ruby on Rails 用 Authlogic gem における SQL インジェクションの脆弱性

特定のバージョンの Ruby on Rails で利用される Authlogic gem は、潜在的に安全でない find_by_id メソッドコールを用いるため、CVE-2012-6496 に記される SQL インジェクション攻撃を実行される脆弱性が存在します。

基本値: 5.0 (警告) [NVD値]

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 低
• 攻撃前の認証要否: 不要
• 機密性への影響(C): 部分的
• 完全性への影響(I): なし
• 可用性への影響(A): なし

Ruby on Rails project

• Rails 3.2.10 未満

第三者により、secret_token 値が知られている状況下での巧妙に細工されたパラメータを介して、CVE-2012-6496 に記される SQL インジェクション攻撃を実行される可能性があります。

ベンダ情報および参考情報を参照して適切な対策を実施してください。

Ruby on Rails project

• Rails weblog : [ANN] Rails 3.2.10, 3.1.9, and 3.0.18 have been released!

レッドハット

• Red Hat Bugzilla : Bug 891794

1. 情報漏えい(CWE-200) [NVD評価]

1. CVE-2012-6497

1. National Vulnerability Database (NVD) : CVE-2012-6497

[2013年01月07日]
  掲載