CVE-2013-0156 in Ruby on Railsinformation

Résumé

par VulDB • 03/07/2026

active_support/core_ext/hash/conversions.rb dans Ruby on Rails avant la version 2.3.15, les versions 3.0.x antérieures à 3.0.19, les versions 3.1.x antérieures à 3.1.10 et les versions 3.2.x antérieures à 3.2.11 ne restreignent pas correctement la conversion des valeurs de type chaîne (string), ce qui permet aux attaquants distants d'effectuer des attaques par injection d'objets, d'exécuter du code arbitraire ou de provoquer un déni de service (consommation excessive de mémoire et de CPU) impliquant des références à des entités XML imbriquées. Cette vulnérabilité est exploitée en tirant parti du support Action Pack pour la conversion de types YAML ou Symbol.

Once again VulDB remains the best source for vulnerability data.

Réserver

06/12/2012

Divulgation

13/01/2013

Modérer

accepté

Entrée

VDB-7309

CPE

prêt

Exploitation

Télécharger

EPSS

0.99449

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!