Ruby on Rails XML sérülékenység


2013. január 10. 07:08

CH azonosító

CH-8216

Angol cím

Ruby on Rails XML Parameter Parsing Vulnerability

Felfedezés dátuma

2013.01.09.

Súlyosság

Magas

Érintett rendszerek

Rails Core Team
Ruby on Rails

Érintett verziók

Ruby on Rails 2.3.x, 3.0.x, 3.1.x, 3.2.x

Összefoglaló

A Ruby on Rails olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.

Leírás

A sérülékenységet az XML paraméterek elemzésekor jelentkező hiba okozza, amely miatt a symbol és yaml típusok a kérés részéi lehetnek, és ez kihasználható tetszőleges parancsok futtatására.

Megjegyzés: Egy további sérülékenységet jelentettek a JSON paraméterek kezelésében, amely a lekérdezés NULL érték ellenőrzéséhez vagy a WHERE feltétel kiiktatásához vezethet.

A sérülékenységet  a 3.2.11, 3.1.10, 3.0.19 és 2.3.15 megelőző verziókban ismerték fel.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: groups.google.com
Gyártói referencia: groups.google.com
CVE-2013-0155 - NVD CVE-2013-0155
CVE-2013-0156 - NVD CVE-2013-0156
SECUNIA 51753

Legfrissebb sérülékenységek
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
CVE-2025-34026 – Versa Concerto Improper Authentication sérülékenység
Tovább a sérülékenységekhez »