Rails 再爆 SQL 注入漏洞

上个月 Rails 爆出 SQL 注入漏洞 (CVE-2012-2661),版本涉及 3.0 以及以后的版本,而今天又新发现一个 SQL 注入漏洞 CVE-2012-2695,该漏洞影响所有版本的 Rails ,已经修复的版本是 3.2.6, 3.1.6, 3.0.14

使用如下代码会导致此漏洞:

Post.where(:id => params[:id]).all

可以改为:

Post.where(:id => params[:id].to_s).all

此漏洞详情请看 http://seclists.org/oss-sec/2012/q2/504