HIGHCVE-2012-6496CVSS 7.5

CVE-2012-6496: SQL Injection in Ruby on Rails activerecord

平台

ruby

组件

activerecord

修复版本

3.0.18

AI Confidence: highNVDEPSS 1.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2012-6496是一个SQL注入漏洞，影响Ruby on Rails框架的activerecord组件。该漏洞允许远程攻击者通过构造恶意请求，执行任意SQL命令，从而可能导致数据泄露或系统被篡改。受影响的版本包括Rails 2.3.15之前的版本、3.0.x系列小于3.0.18的版本以及3.2.x系列早期版本。建议尽快升级至3.0.18版本以修复此漏洞。

影响与攻击场景

该SQL注入漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过身份验证，访问敏感数据，例如用户凭据、财务信息和业务机密。更进一步，攻击者可能能够修改数据库内容，导致数据损坏或系统瘫痪。由于Ruby on Rails被广泛应用于Web应用程序开发，因此该漏洞可能影响大量系统。攻击者可以通过精心构造的参数，在动态查找器中注入恶意SQL代码，从而执行未经授权的操作。类似于其他SQL注入漏洞，攻击者可以利用此漏洞进行横向移动，访问其他数据库或系统资源。

利用背景

该漏洞已公开披露，并且存在公开的PoC代码。虽然目前尚未观察到大规模的利用，但由于其严重性和易利用性，存在被攻击的风险。该漏洞被列入CISA KEV目录，表明其具有较高的安全风险。建议密切关注安全社区的动态，及时了解最新的威胁情报。

哪些人处于风险中翻译中…

Applications using older, unpatched versions of Ruby on Rails (prior to 3.0.18, 3.1.9, or 3.2.10) are at risk. This includes legacy applications, applications running on shared hosting environments where updates are not managed by the application owner, and applications that rely on custom ActiveRecord implementations without proper input validation.

检测步骤翻译中…

• ruby/server: Examine application logs for unusual SQL query patterns or error messages related to database interactions. Use tools like journalctl to filter for SQL errors and suspicious activity. • generic web: Use curl or wget to test vulnerable endpoints with crafted SQL injection payloads. Monitor response headers for signs of SQL injection success (e.g., error messages revealing database structure). • database (mysql, postgresql): If direct database access is available, run queries to check for unauthorized data modifications or suspicious entries that might indicate exploitation.

攻击时间线

2012-08-24Discovery
discovery
2017-10-24Disclosure
disclosure
2017-10-24Patch
patch

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

NextGuard10–15% 仍然脆弱

EPSS

1.02% (77% 百分位)

受影响的软件

组件activerecord

供应商osv

影响范围修复版本

3.0.0.beta3.0.18

时间线

发布日期2017-10-24
修改日期2025-01-21
EPSS 更新日期2026-04-02

披露后-1755天发布补丁

缓解措施和替代方案

修复此漏洞的首要措施是升级到受影响版本的最新版本，即Rails 3.0.18。如果无法立即升级，可以考虑回滚到之前的稳定版本。此外，可以使用Web应用程序防火墙（WAF）或代理服务器来过滤恶意请求，阻止SQL注入攻击。在应用程序层面，应严格验证所有用户输入，避免将用户输入直接用于SQL查询。使用参数化查询或预处理语句可以有效地防止SQL注入攻击。务必审查activerecord组件的配置，确保动态查找器的行为符合预期。升级后，请使用SQL注入测试工具验证修复效果。

修复方法翻译中…

暂无官方补丁。请查找临时解决方案或持续关注更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2012-6496 — SQL注入漏洞在Ruby on Rails activerecord中？

CVE-2012-6496是一个SQL注入漏洞，影响Ruby on Rails框架的activerecord组件。攻击者可以通过构造恶意请求，执行任意SQL命令。CVSS评分为7.5（高）。

我是否受到CVE-2012-6496在Ruby on Rails activerecord中的影响？

如果您的应用程序使用Rails 2.3.15之前的版本、3.0.x系列小于3.0.18的版本以及3.2.x系列早期版本，则可能受到影响。请立即检查您的Rails版本。

我如何修复CVE-2012-6496在Ruby on Rails activerecord中？

升级到Rails 3.0.18或更高版本是修复此漏洞的最佳方法。如果无法升级，请考虑使用WAF或参数化查询进行缓解。

CVE-2012-6496是否正在被积极利用？

虽然目前尚未观察到大规模的利用，但由于其严重性和易利用性，存在被攻击的风险。

在哪里可以找到官方Ruby on Rails关于CVE-2012-6496的公告？

请访问Ruby on Rails官方安全公告页面：https://github.com/rails/rails/security/advisories