В Administrate (rubygem) до версии 0.13.0, при сортировке по атрибутам на панели управления, параметр направления не проверялся перед интер…
В Administrate (rubygem) до версии 0.13.0, при сортировке по атрибутам на панели управления, параметр направления не проверялся перед интерполяцией в SQL-запрос. Это может привести к SQL-инъекции, если злоумышленник сможет изменить параметр `direction` и обойти защиту ActiveRecord SQL. Хотя это оказывает большое влияние, для использования этого вам нужен доступ к панелям управления Administrate, которые, как мы ожидаем, будут защищены аутентификацией. Это исправлено в версии 0.13.0.
Продукт формирует запрос для доступа к данным или их изменения в хранилище данных (например, в базе данных), однако не нейтрализует или некорректно нейтрализует специальные элементы, способные изменить предполагаемую логику запроса.
https://cwe.mitre.org/data/definitions/943.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/676.html →Открыть в коллекции CAPEC →