Los desarrolladores del framework web Ruby on Rails han cerrado una vulnerabilidad crítica que permitía a atacantes ejecutar comandos SQL en la base de datos del servidor. Un ataque de "inyección de código SQL" como este podría permitir al atacante, por ejemplo, leer información confidencial sin autorización.

La vulnerabilidad se encuentra en las versiones 3.0 y posteriores de Active Record, capa de la base de datos de Rail, y es expuesta cuando se utilizan parámetros de consulta anidados. El código pasa directamente parámetros al método where, el cual resulta afectado. Por ejemplo, al utilizar la sentencia común "params[:id]", ésta puede ser manipulada para regresar un hash personalizado que propicia que se ejecute la sentencia SQL para realizar una consulta a cualquier tabla de la base de datos.

Otra vulnerabilidad fue encontrada en el generador de consultas que afecta también a todas las versiones de Ruby On Rails. Rails 3.2.4 se lanzó con soluciones para esta falla y para otros muchos errores, pero debido al número de problemas en el proceso de liberación de 3.2.4, los desarrolladores decidieron liberar Rails 3.2.5. También hay versiones actualizadas de Rails 3.1.5 y Rails 3.0.13 para reparar los mismo problema de seguridad en versiones anteriores del framework.