https://blog.qife122.com/tags/activerecord/ Recent content in ActiveRecord on 办公AI智能小助手 Hugo zh-cn qife Fri, 09 Jan 2026 12:22:56 +0800 https://blog.qife122.com/p/activerecord-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2011-2930/ Fri, 09 Jan 2026 12:22:56 +0800 https://blog.qife122.com/p/activerecord-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2011-2930/ <h1 id="activerecord-vulnerable-to-sql-injection--cve-2011-2930">activerecord vulnerable to SQL Injection · CVE-2011-2930</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="漏洞描述">漏洞描述</h3> <p>ActiveRecord适配器中的<code>quote_table_name</code>方法存在多个SQL注入漏洞。该漏洞位于Ruby on Rails的<code>activerecord/lib/active_record/connection_adapters/</code>目录中，影响以下版本：</p> https://blog.qife122.com/p/activerecord-%E6%97%A9%E6%9C%9F%E7%89%88%E6%9C%AC%E5%AD%98%E5%9C%A8sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2011-2930%E5%89%96%E6%9E%90/ Sat, 06 Dec 2025 17:42:11 +0800 https://blog.qife122.com/p/activerecord-%E6%97%A9%E6%9C%9F%E7%89%88%E6%9C%AC%E5%AD%98%E5%9C%A8sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2011-2930%E5%89%96%E6%9E%90/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>包信息</strong></p> <ul> <li><strong>包管理器</strong>: RubyGems</li> <li><strong>受影响的包</strong>: activerecord</li> </ul> <p><strong>受影响版本</strong></p> <ul> <li>版本 &gt;= 2.0.0 且 &lt; 2.3.13</li> <li>版本 &gt;= 3.0.0.beta 且 &lt; 3.0.10</li> <li>版本 &gt;= 3.1.0.beta1 且 &lt; 3.1.0.rc5</li> </ul> <p><strong>已修复版本</strong></p> <ul> <li>2.3.13</li> <li>3.0.10</li> <li>3.1.0.rc5</li> </ul> <h3 id="漏洞描述">漏洞描述</h3> <p>Ruby on Rails 2.3.13之前版本、3.0.x的3.0.10之前版本以及3.1.x的3.1.0.rc5之前版本中，位于<code>activerecord/lib/active_record/connection_adapters/</code>目录下的ActiveRecord适配器中的<code>quote_table_name</code>方法存在多处SQL注入漏洞。远程攻击者能够通过构造恶意的列名，执行任意SQL命令。</p>