Le parser Json natif de Ruby On Rails peut être détourné pour passer du code malicieux au paramètre du #tag d’une appli.
En se basant sur le principe de dé-sérialisation, un attaquant peut simuler une méthode pour assigner des valeurs en masse à des attributs protégés.
Ce hack a été testé sur les frameworks ActiveRecord http://api.rubyonrails.org/classes/ActiveRecord/Base.html et Mongoid http://mongoid.org/en/mongoid/docs/rails.html, sur une base Rails 3.2.11.
Toutes les applications RoR doivent par conséquent utiliser une version à jour de Jason, voir ici https://github.com/flori/json
Source de l’information : http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection