Rails 再爆 SQL 注入漏洞

上个月 Rails 爆出 SQL 注入漏洞 (CVE-2012-2661)，版本涉及 3.0 以及以后的版本，而今天又新发现一个 SQL 注入漏洞 CVE-2012-2695，该漏洞影响所有版本的 Rails ，已经修复的版本是 3.2.6, 3.1.6, 3.0.14

使用如下代码会导致此漏洞：

Post.where(:id => params[:id]).all

可以改为：

Post.where(:id => params[:id].to_s).all

此漏洞详情请看 http://seclists.org/oss-sec/2012/q2/504