Activerecord update_by_case SQL注入漏洞

CNNVD-ID编号	CNNVD-202208-2960
CVE编号	CVE-2022-35956
发布时间	2022-08-12
更新时间	2022-08-15
漏洞类型	SQL注入
漏洞来源	N/A
危险等级	中危
威胁类型	N/A
厂商	N/A

漏洞介绍

Activerecord update_by_case是通过单个数据库命中的案例值更新许多记录的Ruby on Rails工具。 Activerecord update_by_case 0.1.3 之前版本存在SQL注入漏洞，该漏洞源于update_by_case使用了自定义的 sql 字符串，没有经过清理。

漏洞补丁

目前厂商已发布升级了Activerecord update_by_case SQL注入漏洞的补丁，Activerecord update_by_case SQL注入漏洞的补丁获取链接： https://github.com/camilova/activerecord-update-by-case/security/advisories/GHSA-33wh-w4m7-c6r8

参考网址

来源:cxsecurity.com

链接：https://cxsecurity.com/cveshow/CVE-2022-35956/

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202208-2960