Eine Sicherheitslücke im Framework Ruby on Rails ermöglicht einem entfernten Angreifer, SQL-Injection-Attacken gegen die verwendete Datenbank durchzuführen.
Anfällig hierfür sind bestimmte Datenbankanfragen, die “bitstring”- und “range”-Typen enthalten. Der Programmierfehler befindet sich im Code des PostgreSQL-Adapter für Active Record. Betroffener Code könnte beispielsweise so aussehen:
Model.where(bitstring: params[:some_value]) Model.where(range: params[:from]..params[:to])
Anfällig hierfür sind die Rails-Versionen 2.0.0 bis 4.1.2.

