Podatność CVE-2016-6317


Publikacja: 2016-09-07

Opis:
Action Record in Ruby on Rails 4.2.x before 4.2.7.1 does not properly consider differences in parameter handling between the Active Record component and the JSON implementation, which allows remote attackers to bypass intended database-query restrictions and perform NULL checks or trigger missing WHERE clauses via a crafted request, as demonstrated by certain "[nil]" values, a related issue to CVE-2012-2660, CVE-2012-2694, and CVE-2013-0155.

Typ:

CWE-476

(NULL Pointer Dereference)

CVSS2 => (AV:N/AC:L/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Rubyonrails -> Ruby on rails 
Rubyonrails -> Rails 

 Referencje:
http://rhn.redhat.com/errata/RHSA-2016-1855.html
http://weblog.rubyonrails.org/2016/8/11/Rails-5-0-0-1-4-2-7-2-and-3-2-22-3-have-been-released/
http://www.openwall.com/lists/oss-security/2016/08/11/4
http://www.securityfocus.com/bid/92434
https://groups.google.com/forum/#!topic/ruby-security-ann/WccgKSKiPZA

Copyright 2024, cxsecurity.com

 

Back to Top