Ruby on Rails 的某些版本中的嵌套属性处理代码存在一个漏洞。攻击者可以操纵表单参数,对开发人员未打算的记录进行更改。此漏洞已被分配标识符 CVE-2010-3933。
攻击者可以更改表单输入的参数名称,并对系统中的任意记录进行更改。运行受影响版本的用户应立即升级。
3.0.1 和 2.3.10 版本可在正常位置获取。3.0.1 版本仅包含 3.0.0 版本并修复了安全问题,3.0.2 版本将很快发布,其中包含其他错误修复以及此修复。2.3.10 是 2.3 系列中的常规版本。
此问题没有可行的解决方法。
为了帮助那些无法立即升级的用户,我们为两个受支持的版本系列提供了补丁。它们是 git-am 格式,包含一个更改集。
请注意,目前仅支持 2.3.x 和 3.0.x 系列。建议使用早期不受支持版本的用户尽快升级。
感谢 Enemy & Sons Ltd 的 Matti Paksula 和 Juha Suuraho 向我们报告此漏洞并帮助验证修复。