Project

General

Profile

Code Review #965

Mass assignment security vulnerability

Added by Haru Iida almost 9 years ago. Updated almost 9 years ago.

Status:
終了(Closed)
Priority:
高め(High)
Assignee:
Target version:
-
Start date:
03/13/2012
Due date:
% Done:

70%

Estimated time:

Description

私の元のコードが悪いのですが、Mass assignment脆弱性があります。

@issue_template.attributes = params[:issue_template]

で値を設定すると、HTTPリクエストのパラメータにproject_idやauthor_idを勝手に追加して意図しないフィールドの値を書き換えられてしまいます。

修正方法としては、モデル側でRedmine::SafeAttributesをインクルードして書き換えてもよいフィールドを定義し、コントローラ側でattributes = の代わりにsafe_attributes =で値を設定すればよいと思います。以下の修正を参考にして下さい。

http://www.redmine.org/projects/redmine/repository/revisions/9140

Also available in: Atom PDF