Plataforma
ruby
Componente
activerecord
Corrigido em
3.0.14
A vulnerabilidade CVE-2012-2695 é uma falha de injeção SQL no componente ActiveRecord do Ruby on Rails. Essa falha permite que atacantes remotos explorem a falta de tratamento adequado de dados de requisição em métodos 'where', levando à execução de código SQL malicioso. As versões afetadas incluem aquelas anteriores ou iguais a 3.0.9.rc5, sendo a correção disponível na versão 3.0.14.
Um atacante pode explorar essa vulnerabilidade injetando código SQL malicioso através de parâmetros de consulta aninhados em requisições HTTP. Isso pode resultar na exfiltração de dados sensíveis do banco de dados, como informações de usuários, senhas e dados financeiros. Em cenários mais graves, o atacante pode até mesmo obter controle sobre o servidor de banco de dados, permitindo a modificação ou exclusão de dados, ou a execução de comandos arbitrários no sistema. A vulnerabilidade é similar a outras falhas de injeção SQL, mas a exploração específica se aproveita de uma manipulação inadequada de hashes aninhados dentro das consultas ActiveRecord.
A vulnerabilidade CVE-2012-2695 foi publicada em 2017, mas a raiz do problema é anterior. Não há evidências públicas de exploração ativa em larga escala, mas a natureza da injeção SQL a torna um alvo potencial para atacantes. A ausência de um KEV listing indica que a CISA não considera essa vulnerabilidade uma ameaça iminente. A existência de um CVE relacionado (CVE-2012-2661) sugere que a falha pode ser parte de um conjunto maior de problemas de segurança no ActiveRecord.
Status do Exploit
EPSS
0.64% (percentil 70%)
A mitigação primária para CVE-2012-2695 é atualizar o Ruby on Rails para a versão 3.0.14 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosa de todos os dados de entrada do usuário. Utilize prepared statements ou ORMs que escapem automaticamente os dados para evitar a injeção de SQL. Monitore logs de aplicação e banco de dados em busca de padrões suspeitos de injeção SQL. Após a atualização, confirme a correção executando testes de segurança que simulem ataques de injeção SQL.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2012-2695 is a SQL Injection vulnerability in Ruby on Rails versions before 3.0.14. It allows attackers to inject malicious SQL code through improperly handled nested query parameters, potentially compromising database data.
You are affected if your Ruby on Rails application is running a version prior to 3.0.14 (≤3.0.9.rc5). Check your application's version string to determine if you are vulnerable.
The recommended fix is to upgrade your Ruby on Rails application to version 3.0.14 or later. If an upgrade isn't immediately possible, implement input validation and sanitization on all user-supplied data.
While no active campaigns targeting this specific CVE are publicly known, the underlying SQL Injection vulnerability remains a risk. It's crucial to apply the patch or implement mitigating controls.
Refer to the Ruby on Rails security advisories and the NVD database for detailed information: [https://nvd.nist.gov/vuln/detail/CVE-2012-2695](https://nvd.nist.gov/vuln/detail/CVE-2012-2695)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.