HIGHCVE-2014-3483CVSS 7.5

एक्टिव रिकॉर्ड में अनुचित रेंज उद्धरण के कारण SQL इंजेक्शन (SQL Injection)

प्लेटफ़ॉर्म

ruby

घटक

activerecord

में ठीक किया गया

4.0.7

AI Confidence: highNVDEPSS 1.3%समीक्षित: मई 2026

NVD पर देखें

सहेजें

ActiveRecord के PostgreSQL एडेप्टर में SQL Injection भेद्यता पाई गई है, जो हमलावरों को दुर्भावनापूर्ण SQL कमांड निष्पादित करने की अनुमति देती है। यह भेद्यता Ruby on Rails के 4.x संस्करणों में मौजूद है जो 4.0.6.rc3 या उससे कम संस्करण पर हैं। इस समस्या को 4.0.7 संस्करण में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को डेटाबेस से संवेदनशील जानकारी निकालने, डेटा को संशोधित करने या हटाने, और यहां तक कि सर्वर पर मनमाना कोड निष्पादित करने की अनुमति दे सकती है। PostgreSQL एडेप्टर में रेंज उद्धरण की अनुचित हैंडलिंग के कारण यह भेद्यता उत्पन्न होती है। एक हमलावर विशेष रूप से तैयार किए गए SQL इनपुट का उपयोग करके डेटाबेस क्वेरी को हेरफेर कर सकता है, जिससे अनधिकृत कार्यों को अंजाम दिया जा सकता है। यह भेद्यता एप्लिकेशन की सुरक्षा और डेटा अखंडता के लिए गंभीर खतरा है।

शोषण संदर्भ

यह CVE सार्वजनिक रूप से ज्ञात है और इसका व्यापक रूप से शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो इस भेद्यता का फायदा उठाने की संभावना को बढ़ाते हैं। CISA KEV सूची में इसकी उपस्थिति इंगित करती है कि यह भेद्यता सक्रिय रूप से शोषण के लिए लक्षित है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

NextGuard10–15% अभी भी असुरक्षित

EPSS

1.25% (79% शतमक)

प्रभावित सॉफ्टवेयर

घटकactiverecord

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

4.0.04.0.7

समयरेखा

प्रकाशित2017-10-24
संशोधित2024-11-29
EPSS अद्यतन2026-04-02

प्रकाशन के -1209 दिन बाद पैच

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Ruby on Rails के 4.0.7 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SQL इंजेक्शन हमलों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, इनपुट सत्यापन और पैरामीटराइज़्ड क्वेरी का उपयोग करके अपने एप्लिकेशन कोड को सुरक्षित करना महत्वपूर्ण है। PostgreSQL एडेप्टर के लिए विशिष्ट सुरक्षा नियमों को कॉन्फ़िगर करके WAF को सेट करें।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2014-3483 — SQL Injection ActiveRecord में क्या है?

CVE-2014-3483 ActiveRecord के PostgreSQL एडेप्टर में SQL Injection भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण SQL कमांड निष्पादित करने की अनुमति देती है।

क्या मैं CVE-2014-3483 से ActiveRecord में प्रभावित हूं?

यदि आप Ruby on Rails के 4.0.6.rc3 या उससे कम संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2014-3483 से ActiveRecord में कैसे ठीक करूं?

Ruby on Rails के 4.0.7 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2014-3483 सक्रिय रूप से शोषण किया जा रहा है?

हाँ, यह CVE सार्वजनिक रूप से ज्ञात है और इसका व्यापक रूप से शोषण किया जा सकता है।

मैं CVE-2014-3483 के लिए आधिकारिक ActiveRecord सलाहकार कहां पा सकता हूं?

आप Ruby on Rails सुरक्षा सलाहकार यहां पा सकते हैं: [https://www.ruby-lang.org/en/news/2017/10/24/security/](https://www.ruby-lang.org/en/news/2017/10/24/security/)