| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
सारांश
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Ruby on Rails तक 3.0.3 में पाई गई है। प्रभावित है फ़ंक्शन ActiveRecord SQL घटक का हिस्सा है। इसमें तर्क .where की हेरफेर शामिल है, जिससे SQL इंजेक्शन उत्पन्न होती है।
इस संवेदनशीलता को CVE-2012-2661 के रूप में जाना जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है।
यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
विवरण
एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Ruby on Rails तक 3.0.3 में पाई गई है। प्रभावित है फ़ंक्शन ActiveRecord SQL घटक का हिस्सा है। इसमें तर्क .where की हेरफेर शामिल है, जिससे SQL इंजेक्शन उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-89 मिलता है। इस कमजोरी को प्रकाशित किया गया था 31/05/2012 द्वारा Ben Murphy के रूप में Mailinglist Post (Open Source Security Mailing List). एडवाइजरी को seclists.org पर डाउनलोड के लिए उपलब्ध कराया गया है।
इस संवेदनशीलता को CVE-2012-2661 के रूप में जाना जाता है। CVE असाइनमेंट 14/05/2012 को हुआ। यह हमला दूर से किया जा सकता है। तकनीकी विवरण उपलब्ध हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है। वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1505 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1505 के रूप में घोषित करता है।
यह परिभाषित नहीं के रूप में घोषित है। 0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $0-$5k थी. Nessus वल्नरेबिलिटी स्कैनर 59804 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह Fedora Local Security Checks परिवार को सौंपा गया है। यह प्लगइन l टाइप के कॉन्टेक्स्ट में चल रहा है। यह 0 पोर्ट पर आधारित है.
3.0.13, 3.1.5 , 3.2.4 संस्करण में अपग्रेड करना इस समस्या को दूर कर सकता है। इस पैच का नाम 3-X-params_sql_injection.patch है। आप seclists.org से बगफिक्स डाउनलोड कर सकते हैं। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।
यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 53753), X-Force (76014), Secunia (SA49297), Vulnerability Center (SBV-35488) , Tenable (59804).
उत्पाद
प्रकार
नाम
संस्करण
लाइसेंस
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 8.8VulDB मेटा अस्थायी स्कोर: 8.4
VulDB मूल स्कोर: 8.8
VulDB अस्थायी स्कोर: 8.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: SQL इंजेक्शनCWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: परिभाषित नहीं
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 59804
Nessus नाम: Fedora 17 : rubygem-activerecord-3.0.11-3.fc17 (2012-9635)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 71520
OpenVAS नाम: FreeBSD Ports: rubygem-activemodel
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: Ruby on Rails 3.0.13/3.1.5/3.2.4
पैच: 3-X-params_sql_injection.patch
समयरेखा
14/05/2012 🔍31/05/2012 🔍
31/05/2012 🔍
31/05/2012 🔍
31/05/2012 🔍
31/05/2012 🔍
01/06/2012 🔍
05/06/2012 🔍
22/06/2012 🔍
01/07/2012 🔍
08/07/2012 🔍
25/03/2021 🔍
स्रोत
सलाह: seclists.orgशोधकर्ता: Ben Murphy
स्थिति: परिभाषित नहीं
CVE: CVE-2012-2661 (🔍)
GCVE (CVE): GCVE-0-2012-2661
GCVE (VulDB): GCVE-100-5469
X-Force: 76014
SecurityFocus: 53753 - Ruby on Rails Active Record SQL Injection Vulnerability
Secunia: 49297 - Ruby on Rails Nested Query Parameters SQL Injection Vulnerability, Moderately Critical
OSVDB: 82403
Vulnerability Center: 35488 - Ruby on Rails 3.0.0-3.0.12, 3.1.0-3.1.4, and 3.2.0-3.2.3 Remote SQL Injection Vulnerability, Medium
प्रविष्टि
बनाया गया: 05/06/2012 12:21 PMअद्यतनित: 25/03/2021 08:47 AM
परिवर्तन: 05/06/2012 12:21 PM (75), 14/04/2017 01:56 PM (9), 25/03/2021 08:47 AM (3)
पूर्ण: 🔍
Cache ID: 216:45F:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें