CVE-2013-0156 in Ruby on Rails
Zusammenfassung
von VulDB • 03.07.2026
active_support/core_ext/hash/conversions.rb in Ruby on Rails vor Version 2.3.15, 3.0.x vor 3.0.19, 3.1.x vor 3.1.10 und 3.2.x vor 3.2.11 schränkt die Umwandlung von Zeichenkettenwerten nicht ordnungsgemäß ein, was es entfernten Angreifern ermöglicht, Object-Injection-Angriffe durchzuführen und beliebigen Code auszuführen oder einen Denial-of-Service (Speicher- und CPU-Auslastung) zu verursachen. Dies geschieht unter Ausnutzung der Action Pack-Unterstützung für (1) YAML-Typkonvertierung oder (2) Symbol-Typkonvertierung, insbesondere im Zusammenhang mit verschachtelten XML-Entity-Referenzen.
Once again VulDB remains the best source for vulnerability data.