Ruby On Rail ถือเป็นอีกหนึ่งใน framework ของ Web Application ที่ได้รับความนิยมสูงมาก ล่าสุดมีการเปิดเผยว่าพบ SQL Injection

SQL Injection ดังกล่าวพบใน Ruby On Rail version 5.1.4 หรือน้อยกว่า โดยจะเกิด SQL Injection ได้ก็ต่อเมื่อกำหนดใน setting ให้มี configure เป็น flags: [MULTI_STATEMENTS] ใน database.yml ทำให้สามารถทำ sql injection ในหลายๆ method ไม่ว่าจะเป็น find_by, where, order, และอื่นๆ

ผลกระทบ: SQL Injection
ระบบที่ได้รับผลกระทบ: Ruby on Rail <= version 5.1.4
วิธีการแก้ไข: Upgrade version ให้เป็น > 5.1.4

Source:: MalwareBenchMark