Ruby multi_xml gem XML paraméter elemzéses sérülékenység

CH azonosító

CH-8239

Angol cím

Ruby multi_xml Gem XML Parameter Parsing Vulnerability

Felfedezés dátuma

2013.01.12.

Súlyosság

Magas

Érintett rendszerek

Rails Core Team
multi_xml gem for Ruby

Érintett verziók

multi_xml gem for Ruby 0.x

Összefoglaló

A Ruby multi_xml gem olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók feltörhetik a sérülékeny rendszert.

Leírás

A sérülékenységet az XML paraméterek elemzésekor jelentkező hiba okozza, ami lehetővé teszi, hogy szimbólumok és yaml típusok is részei lehessenek a kéréseknek, amit kihasználva tetszőleges parancsokat lehet futtatni. További információ:
CERT-Hungary CH-8216

A sérülékenység a 0.5.1 verzióban jelentették, de korábbi kiadások is érintettek lehetnek.

Megoldás

Frissítsen a legújabb verzióra