प्लेटफ़ॉर्म
ruby
घटक
activerecord
में ठीक किया गया
3.0.18
CVE-2012-6496 Ruby on Rails के Active Record घटक में एक गंभीर SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण SQL कमांड निष्पादित करने की अनुमति देती है, जिससे डेटा उल्लंघन और सिस्टम समझौता हो सकता है। यह भेद्यता Ruby on Rails के संस्करण 3.0.9.rc5 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, प्रभावित संस्करणों को 3.0.18 में अपग्रेड करें।
यह भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने, डेटा को संशोधित करने या हटाने और यहां तक कि सर्वर पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। गलत तरीके से संरचित अनुरोधों के माध्यम से डायनामिक फाइंडर्स में गलत व्यवहार का फायदा उठाकर, हमलावर SQL इंजेक्शन का उपयोग कर सकते हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए खतरनाक है जो कुछ findby विधि कॉल में अप्रत्याशित डेटा प्रकारों का उपयोग कर सकते हैं। एक सफल शोषण से डेटाबेस की अखंडता और गोपनीयता से समझौता हो सकता है, जिससे महत्वपूर्ण व्यावसायिक प्रभाव पड़ सकता है।
CVE-2012-6496 को सार्वजनिक रूप से 2017-10-24 को प्रकट किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हैं, जो इसका शोषण करना आसान बनाते हैं। इस भेद्यता का उपयोग सक्रिय रूप से किया जा रहा है या नहीं, इसकी जानकारी वर्तमान में उपलब्ध नहीं है। NVD और CISA ने इस CVE के बारे में जानकारी प्रकाशित की है।
Applications using older, unpatched versions of Ruby on Rails (prior to 3.0.18, 3.1.9, or 3.2.10) are at risk. This includes legacy applications, applications running on shared hosting environments where updates are not managed by the application owner, and applications that rely on custom ActiveRecord implementations without proper input validation.
• ruby/server: Examine application logs for unusual SQL query patterns or error messages related to database interactions. Use tools like journalctl to filter for SQL errors and suspicious activity.
• generic web: Use curl or wget to test vulnerable endpoints with crafted SQL injection payloads. Monitor response headers for signs of SQL injection success (e.g., error messages revealing database structure).
• database (mysql, postgresql): If direct database access is available, run queries to check for unauthorized data modifications or suspicious entries that might indicate exploitation.
discovery
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
1.02% (77% शतमक)
CVE-2012-6496 को कम करने के लिए, सबसे महत्वपूर्ण कदम Ruby on Rails को संस्करण 3.0.18 या बाद के संस्करण में अपग्रेड करना है, जिसमें यह भेद्यता ठीक की गई है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को कम करने पर विचार करें जो दुर्भावनापूर्ण अनुरोधों को फ़िल्टर कर सके। इसके अतिरिक्त, इनपुट सत्यापन और पैरामीटराइज़्ड क्वेरी का उपयोग करके अपने एप्लिकेशन कोड की समीक्षा करें ताकि यह सुनिश्चित हो सके कि यह SQL इंजेक्शन के प्रति सुरक्षित है। सभी डायनामिक फाइंडर्स के उपयोग की सावधानीपूर्वक समीक्षा करें और अप्रत्याशित डेटा प्रकारों को संभालने के लिए उचित सत्यापन लागू करें।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2012-6496 Ruby on Rails के Active Record घटक में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को दुर्भावनापूर्ण SQL कमांड निष्पादित करने की अनुमति देती है।
यदि आप Ruby on Rails के संस्करण 3.0.9.rc5 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2012-6496 को ठीक करने के लिए, Ruby on Rails को संस्करण 3.0.18 या बाद के संस्करण में अपग्रेड करें।
इस भेद्यता का उपयोग सक्रिय रूप से किया जा रहा है या नहीं, इसकी जानकारी वर्तमान में उपलब्ध नहीं है, लेकिन सार्वजनिक PoC मौजूद हैं।
आप CVE-2012-6496 के लिए आधिकारिक Ruby on Rails सलाहकार Ruby on Rails सुरक्षा वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।