某些版本的 Ruby on Rails 中嵌套属性处理代码存在漏洞。攻击者可能操纵表单参数并对开发者意想不到的记录进行更改。该漏洞已分配了标识符 CVE-2010-3933。
攻击者可以更改表单输入的参数名称,并对系统中的任意记录进行更改。所有运行受影响版本的用户应立即升级。
3.0.1 和 2.3.10 发行版可在正常位置获取。3.0.1 发行版仅包含已修复安全问题的 3.0.0,随后将发布 3.0.2,其中包括其他错误修复以及此修复。2.3.10 是 2.3 系列中的常规发行版。
此问题没有可行的解决方法。
为帮助无法立即升级的用户,我们已为两个受支持的发行系列提供了补丁。它们采用 git-am 格式,并包含一个更改集。
请注意,目前仅支持 2.3.x 和 3.0.x 系列。建议使用较早不受支持版本的用户尽快升级。
感谢 Enemy & Sons Ltd 的 Matti Paksula 和 Juha Suuraho 向我们报告此漏洞,并帮助验证修复。