Ruby on Rails 多个安全漏洞 CVE-2013-0156 CNNVD-201301-089 CNNVD-201301-215
7.5
AV
AC
AU
C
I
A
发布:
2013-01-13
修订:
2023-02-13
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。 Ruby on Rails 2.3.15之前版本,3.0.19之前的3.0.x版本,3.1.10之前的3.1.x版本以及3.2.11之前的3.2.x版本中的active_support/core_ext/hash/conversions.rb中存在漏洞,该漏洞源于程序没有正确限制一系列字符串的值。通过利用Action Pack支持(1)YAML类型转换或(2)Symbol类型转换,远程攻击者利用该漏洞进行对象注入攻击以及执行任意代码或导致拒绝服务(内存和CPU消耗)包含嵌套的XML实体引用。
漏洞利用/PoC
当前有11条漏洞利用/PoC
受影响的平台与产品
当前有6条受影响产品信息
