HIGHCVE-2011-2930CVSS 7.5

activerecord は SQL Injection に脆弱

Q: CVE-2011-2930 — SQL Injection in Ruby on Rails activerecordとは何ですか？

CVE-2011-2930は、Ruby on Railsのactiverecordライブラリにおける`quote_table_name`メソッドのSQLインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、データベースに対して任意のSQLコマンドを実行できる可能性があります。

プラットフォーム

ruby

コンポーネント

activerecord

修正版

2.3.13

AI Confidence: highNVDEPSS 1.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2011-2930は、Ruby on RailsのactiverecordライブラリにおけるSQLインジェクション脆弱性です。この脆弱性を悪用されると、攻撃者はデータベースに対して任意のSQLコマンドを実行できる可能性があります。影響を受けるバージョンは、Rails 2.3.9.pre 以前、3.0.x 3.0.10以前、および 3.1.x 3.1.0.rc5 以前です。この脆弱性は2017年10月24日に公開され、Rails 2.3.13へのアップデートで修正されています。

影響と攻撃シナリオ

このSQLインジェクション脆弱性は、攻撃者がデータベース内の機密情報を盗み出す、改ざん、または削除することを可能にします。攻撃者は、認証をバイパスしたり、不正なトランザクションを実行したりすることも可能です。特に、データベースに保存されているユーザー認証情報、個人情報、財務情報などが危険にさらされる可能性があります。この脆弱性は、Log4Shellのような広範囲な影響を及ぼす可能性があり、攻撃者はRailsアプリケーションを完全に制御できる可能性があります。

悪用の状況

CVE-2011-2930は、CISA KEVカタログには登録されていません。公開されているPoCは確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は否定できません。この脆弱性は、2017年10月24日にNVDによって公開されました。攻撃者は、この脆弱性を利用して、Railsアプリケーションのセキュリティを侵害する可能性があります。

リスク対象者翻訳中…

Applications built using older versions of Ruby on Rails (prior to 2.3.13, 3.0.10, or 3.1.0.rc5) are at risk. This includes legacy applications that have not been regularly updated and those deployed in shared hosting environments where the underlying Ruby on Rails framework is managed by the hosting provider. Applications that rely on user-supplied input to construct database queries are particularly vulnerable.

検出手順翻訳中…

• ruby/server: Inspect application logs for suspicious SQL queries containing unusual characters or keywords (e.g., UNION, SELECT, DROP).

grep -i 'union|select|drop' /var/log/rails/production.log

• ruby/server: Use a static analysis tool to scan Ruby code for potential SQL injection vulnerabilities in ActiveRecord queries. • generic web: Monitor web application firewall (WAF) logs for SQL injection attempts targeting Rails endpoints. • generic web: Review access logs for unusual patterns of requests that might indicate an attacker probing for vulnerabilities.

攻撃タイムライン

2011-00-00Discovery
discovery
2017-10-24Disclosure
disclosure
2017-10-24Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard10–15% まだ脆弱

EPSS

0.95% (76% パーセンタイル)

影響を受けるソフトウェア

コンポーネントactiverecord

ベンダーosv

影響範囲修正版

2.0.02.3.13

タイムライン

公開日2017-10-24
更新日2025-11-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずRailsアプリケーションをバージョン2.3.13以降にアップデートすることを強く推奨します。アップデートが困難な場合は、データベースへの入力値を厳密に検証し、サニタイズすることで、SQLインジェクション攻撃のリスクを軽減できます。Webアプリケーションファイアウォール（WAF）を導入し、SQLインジェクション攻撃を検知・防御することも有効です。また、データベースのアクセス権限を最小限に抑え、不要な権限を削除することも重要です。アップデート後、アプリケーションの動作を十分にテストし、脆弱性が解消されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2011-2930 — SQL Injection in Ruby on Rails activerecordとは何ですか？

CVE-2011-2930は、Ruby on RailsのactiverecordライブラリにおけるquotetablenameメソッドのSQLインジェクション脆弱性です。攻撃者はこの脆弱性を悪用して、データベースに対して任意のSQLコマンドを実行できる可能性があります。

CVE-2011-2930 in Ruby on Rails activerecordに影響を受けますか？

Rails 2.3.9.pre 以前、3.0.x 3.0.10以前、および 3.1.x 3.1.0.rc5 以前を使用している場合は影響を受けます。

CVE-2011-2930 in Ruby on Rails activerecordを修正するにはどうすればよいですか？

Railsアプリケーションをバージョン2.3.13以降にアップデートしてください。

CVE-2011-2930は積極的に悪用されていますか？

公開されているPoCは確認されていませんが、SQLインジェクション脆弱性であるため、悪用される可能性は否定できません。

CVE-2011-2930のRuby on Rails公式アドバイザリはどこで入手できますか？

Ruby on Railsの公式アドバイザリは、[https://github.com/rails/rails/security/advisories/GHSA-5974-3643](https://github.com/rails/rails/security/advisories/GHSA-5974-3643)で確認できます。