Ruby 'Exception#to_s'方法安全限制绕过漏洞 CVE-2011-1005 CNNVD-201103-050 CNNVD-201210-201

5.0 AV AC AU C I A
发布: 2011-03-02
修订: 2013-08-13

Ruby是一种功能强大的面向对象的脚本语言。 Ruby \"Exception#to_s\"方法在实现上存在安全限制绕过漏洞,远程攻击者可利用此漏洞绕过某些安全限制提升自己的权限。此漏洞源于\"Exception#to_s\"处理时的意外情况,可被利用绕过安全等级保护,例如修改受保护字符串。在Ruby的$SAFE,安全等级4用于运行不受信任代码(例如插件)。在较高安全等级中,一些类型的操作被禁止以防止恶意代码攻击正常数据。Exception#to_s可用于欺骗$SAFE检查,可使可疑代码修改任意字符串。\"#to_s\"方法可欺骗安全等级机制,破坏性的修改正常数据。

0%

漏洞利用/PoC

当前有1条漏洞利用/PoC

受影响的平台与产品

当前有5条受影响产品信息