Los desarrolladores de Ruby on Rails advierten de una vulnerabilidad de inyección SQL que afecta a todas las versiones actuales del framework web. Las nuevas versiones de Ruby on Rails, 3.2.10, 3.1.9 y 3.0.18 ya están disponibles. Se recomienda que todos los usuarios se actualicen inmediatamente.

Para los usuarios que no puedan actualizar, hay parches disponibles para las versiones compatibles 3,2 y 3,1, además de versiones anteriores a 3.0 y 2.3.

Según el aviso, el problema es que debido a la forma dinámica en los buscadores ActiveRecord en las opciones para extraer los parámetros de un método, el parámetro de un método puede ser usado como un campo que se manipula cuidadosamente para examinar si los usuarios pueden inyectar SQL arbitrario. Los buscadores dinámicos utilizan el nombre del método para determinar qué campo buscar, por lo que una llamada similar a:

      Post.find_by_id (params [: id])

sería vulnerable a un ataque. El problema original se dio a conocer en el blog Phenoelit a finales de diciembre, donde el autor aplica la técnica para extraer las credenciales de usuario de un sistema de Ruby on Rails, eludiendo el marco de autenticación Authlogic.