HIGHCVE-2012-2695CVSS 7.5

activerecord में (SQL Injection) के प्रति भेद्यता

प्लेटफ़ॉर्म

ruby

घटक

activerecord

में ठीक किया गया

3.0.14

AI Confidence: highNVDEPSS 0.6%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2012-2695 Ruby on Rails के Active Record घटक में एक गंभीर SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को अनुरोध डेटा को हेरफेर करके डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। यह भेद्यता Ruby on Rails के संस्करण 3.0.9.rc5 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को Ruby on Rails के संस्करण 3.0.14 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने, डेटा को संशोधित करने या हटाने, और यहां तक कि सर्वर पर कमांड निष्पादित करने की अनुमति दे सकती है। हमलावर Active Record क्लास में जहां विधि में अनुरोध डेटा को अनुचित तरीके से पारित करके SQL इंजेक्शन का फायदा उठा सकते हैं। विशेष रूप से, नेस्टेड क्वेरी पैरामीटर का उपयोग करके गलत तरीके से हैंडल किए गए नेस्टेड हैश इस भेद्यता का कारण बनते हैं। यह भेद्यता समान SQL इंजेक्शन हमलों के लिए CVE-2012-2661 से संबंधित है। इस भेद्यता का शोषण करने से डेटा उल्लंघन, सेवा से इनकार और सिस्टम समझौता हो सकता है।

शोषण संदर्भ

CVE-2012-2695 को अभी तक व्यापक रूप से शोषण नहीं किया गया है, लेकिन यह एक गंभीर भेद्यता बनी हुई है क्योंकि यह SQL इंजेक्शन का फायदा उठाती है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं। NVD और CISA ने इस CVE के लिए महत्वपूर्ण तिथियां प्रकाशित की हैं। इस भेद्यता के लिए EPSS स्कोर मध्यम है, जो संभावित शोषण की मध्यम संभावना को दर्शाता है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

NextGuard10–15% अभी भी असुरक्षित

EPSS

0.64% (70% शतमक)

प्रभावित सॉफ्टवेयर

घटकactiverecord

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

3.0.0.beta3.0.14

समयरेखा

प्रकाशित2017-10-24
संशोधित2025-01-21
EPSS अद्यतन2026-04-02

प्रकाशन के -1959 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2012-2695 के लिए प्राथमिक शमन उपाय Ruby on Rails को संस्करण 3.0.14 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने से इस भेद्यता के जोखिम को कम करने में मदद मिल सकती है। यह सुनिश्चित करें कि सभी अनुरोध डेटा को ठीक से मान्य और सैनिटाइज किया गया है। Ruby on Rails के नवीनतम सुरक्षा पैच को लागू करने के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है और कोई नई समस्या नहीं आई है।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2012-2695 — SQL इंजेक्शन Ruby on Rails Active Record में क्या है?

CVE-2012-2695 Active Record घटक में SQL इंजेक्शन भेद्यता है, जो हमलावरों को डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति देती है।

क्या मैं CVE-2012-2695 में Ruby on Rails Active Record से प्रभावित हूं?

यदि आप Ruby on Rails के संस्करण 3.0.9.rc5 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2012-2695 में Ruby on Rails Active Record को कैसे ठीक करूं?

Ruby on Rails को संस्करण 3.0.14 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2012-2695 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि व्यापक रूप से शोषण नहीं किया गया है, सार्वजनिक PoC मौजूद हैं, जो शोषण की संभावना को बढ़ाते हैं।

मैं CVE-2012-2695 के लिए आधिकारिक Ruby on Rails सलाहकार कहां पा सकता हूं?

Ruby on Rails सुरक्षा सलाहकार यहां देखें: https://github.com/rails/rails/security/advisories