Plateforme
ruby
Composant
activerecord
Corrigé dans
4.0.7
Une vulnérabilité de type SQL Injection a été découverte dans l'adaptateur PostgreSQL d'Active Record, une bibliothèque de Ruby on Rails. Cette faille permet à des attaquants distants d'exécuter des commandes SQL arbitraires en exploitant un problème de citation de plage incorrecte. Les versions affectées sont celles inférieures ou égales à 4.0.6.rc3. Une correction a été publiée dans la version 4.0.7.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code SQL malveillant dans les requêtes exécutées par l'application Ruby on Rails. Cela peut conduire à la divulgation, à la modification ou à la suppression de données sensibles stockées dans la base de données PostgreSQL. L'attaquant pourrait potentiellement obtenir un accès non autorisé aux informations des utilisateurs, aux données financières ou à d'autres informations critiques. Dans certains cas, l'attaquant pourrait même prendre le contrôle de la base de données et de l'application elle-même. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée à distance, sans nécessiter d'authentification.
Cette vulnérabilité a été rendue publique en 2017. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle signalées, la nature critique de la vulnérabilité SQL Injection la rend potentiellement dangereuse. Des preuves de concept (PoC) sont probablement disponibles, ce qui pourrait faciliter l'exploitation par des attaquants. Il est conseillé de traiter cette vulnérabilité avec une priorité élevée.
Statut de l'Exploit
EPSS
1.25% (percentile 79%)
La mitigation la plus efficace consiste à mettre à jour Active Record vers la version 4.0.7 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les fonctionnalités qui utilisent l'adaptateur PostgreSQL ou de mettre en œuvre des contrôles d'entrée stricts pour valider et échapper les données avant de les utiliser dans les requêtes SQL. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2014-3483 is a SQL injection vulnerability affecting Ruby on Rails ActiveRecord versions up to 4.0.6.rc3. It allows attackers to execute arbitrary SQL commands through improper range quoting in the PostgreSQL adapter, potentially leading to data breaches.
You are affected if your Ruby on Rails application uses ActiveRecord with the PostgreSQL adapter and is running versions 4.x before 4.0.7 or 4.1.x before 4.1.3. Check your application's version using rails -v.
Upgrade your Ruby on Rails application to version 4.0.7 or later. This resolves the SQL injection vulnerability by implementing proper quoting mechanisms in the PostgreSQL adapter.
While no active campaigns are publicly known, the vulnerability's ease of exploitation makes it a potential target. It's crucial to patch your systems to prevent exploitation.
Refer to the official Ruby on Rails security advisory for details: https://groups.google.com/forum/#!topic/ruby-security-announcements/q71h_w-N-oQ
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.