近日，Ruby on Rails 的 Active Record 模块被爆出存在一个 SQL 注入漏洞（CVE-2012-5664），所有版本均受到影响。

描述

鉴于 Active Record 中动态查找器从方法参数中提取选项的方式，导致方法参数可能会被错误地当成作用域来使用。攻击者可以通过发起特定的请求，利用作用域来注入任意 SQL。

受影响的代码会将用户提供的数据传递到动态查找器，例如：Post.find_by_id(params[:id])

可以通过将参数明确转换到预期的值来暂时缓解该问题，比如：将 Post.find_by_id(params[:id]) 更改为 Post.find_by_id(params[:id].to_s) 。但无法从根本上解决问题，建议所有 Rails 用户尽快升级至如下版本：

Rails 3.2.10
Rails 3.1.9
Rails 3.0.18
详细漏洞信息：Rails SQL injection vulnerability

Via Google Groups

感谢 wangguo 投递这篇资讯
声明：本文系 ITeye 网站发布的原创资讯，严禁任何网站转载本文，否则必将追究法律责任！

已有 0 人发表留言，猛击->>这里<<-参与讨论

ITeye 推荐

—软件人才免语言低担保赴美带薪读研！—

↙↙↙阅读原文可查看相关链接，并与作者交流