Plateforme
ruby
Composant
activerecord
Corrigé dans
3.0.14
La vulnérabilité CVE-2012-2695 est une injection SQL affectant le composant Active Record de Ruby on Rails. Elle permet à des attaquants distants d'exploiter des failles dans la gestion des paramètres de requête imbriqués, conduisant à une injection de code SQL. Les versions concernées sont celles inférieures ou égales à 3.0.9.rc5. Une correction est disponible pour la version 3.0.14.
Cette vulnérabilité permet à un attaquant d'injecter des requêtes SQL malveillantes dans l'application Ruby on Rails. L'attaquant peut ainsi potentiellement accéder à des données sensibles stockées dans la base de données, telles que des informations d'identification d'utilisateurs, des données financières ou des informations personnelles. L'exploitation réussie peut également permettre à l'attaquant de modifier ou de supprimer des données, voire de prendre le contrôle de la base de données. Cette vulnérabilité est similaire à d'autres failles d'injection SQL, mais l'exploitation est facilitée par la manière dont les paramètres de requête imbriqués sont traités par Active Record. La portée de l'attaque dépend de la configuration de la base de données et des privilèges de l'utilisateur de la base de données utilisé par l'application.
La vulnérabilité CVE-2012-2695 a été publiée en 2017, bien que la vulnérabilité elle-même soit plus ancienne. Il n'y a pas d'indications d'une exploitation active à grande échelle. Des preuves de concept (PoC) sont disponibles publiquement, ce qui rend l'exploitation potentiellement accessible aux attaquants ayant des compétences techniques. La vulnérabilité n'est pas répertoriée sur le KEV de CISA.
Statut de l'Exploit
EPSS
0.64% (percentile 70%)
La mitigation principale consiste à mettre à jour Ruby on Rails vers une version corrigée (3.0.14 ou ultérieure). Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est crucial de valider et d'échapper rigoureusement toutes les entrées utilisateur avant de les utiliser dans des requêtes SQL. L'utilisation de requêtes paramétrées ou de procédures stockées peut également aider à prévenir les injections SQL. Envisager l'implémentation de règles WAF (Web Application Firewall) pour détecter et bloquer les tentatives d'injection SQL. Surveiller les journaux d'accès et d'erreurs pour détecter des schémas d'attaque suspects.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2012-2695 is a SQL Injection vulnerability in Ruby on Rails versions before 3.0.14. It allows attackers to inject malicious SQL code through improperly handled nested query parameters, potentially compromising database data.
You are affected if your Ruby on Rails application is running a version prior to 3.0.14 (≤3.0.9.rc5). Check your application's version string to determine if you are vulnerable.
The recommended fix is to upgrade your Ruby on Rails application to version 3.0.14 or later. If an upgrade isn't immediately possible, implement input validation and sanitization on all user-supplied data.
While no active campaigns targeting this specific CVE are publicly known, the underlying SQL Injection vulnerability remains a risk. It's crucial to apply the patch or implement mitigating controls.
Refer to the Ruby on Rails security advisories and the NVD database for detailed information: [https://nvd.nist.gov/vuln/detail/CVE-2012-2695](https://nvd.nist.gov/vuln/detail/CVE-2012-2695)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.