Ruby on Rails többszörös sérülékenységei

CH azonosító

CH-10605

Angol cím

Ruby on Rails Multiple Vulnerabilities

Felfedezés dátuma

2014.02.18.

Súlyosság

Alacsony

Érintett rendszerek

Ruby

Érintett verziók

Ruby on Rails 3.2.x
Ruby on Rails 4.0.x

Összefoglaló

A Ruby on Rails többszörös sérülékenysége vállt ismertté, melyet kihasználva a támadók cross-site scripting támadást hajthatnak végre, manipulálhatnak bizonyos adatokat, és szolgáltatás megtagadást (DoS Denial of Service) okozhatnak.

Leírás

  1. “format”, “negative_format”, és “units” átadott bemenetei a “number_to_currency”, “number_to_percentage”, és “number_to_human” helpereknek nincsenek megfelelően megtisztítva mielőtt visszakerülnének a felhasználóhoz. Ez kihasználható arra hogy a felhasználó böngészőjében a fertőzött oldalon, tetszőleges HTML és script kód futtatható.  Ezt a sérülékenységet a 4.0.3 és a 3.2.17 előtti verziókból jelentették.
  2. Egy hiba található az Action View betű renderében, amikor kezelésre kerülnek bizonyos header-ek. Ez kihasználható a memória erőforrások elhasználására. Ezt a sérülékenységet a 3.2.17 előtti verziókból jelentették.
  3. Az Active Record bizonyos bemenetei nincsenek megfelelően megtisztítva mielőtt SQL lekérdezés történne. Ez kihasználható hogy manipulálják PostgreSQL adatbázisok bizonyos oszlopaitEzt a sérülékenységet a 4.0.3.előtti verziókból jelentették.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 4.0.3 vagy 3.2.17. verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »