Ruby on Rails तक 3.2.10 JSON Parameter Par अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.9$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Ruby on Rails तक 3.2.10 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक JSON Parameter Par का। यह परिवर्तन JSON पैरामीटर अधिकार वृद्धि का कारण बनता है। यह सुरक्षा कमजोरी CVE-2013-0155 के रूप में संदर्भित है। इसके अलावा, एक शोषण उपलब्ध है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Ruby on Rails तक 3.2.10 में खोजी गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक JSON Parameter Par का। यह परिवर्तन JSON पैरामीटर अधिकार वृद्धि का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-264 की ओर ले जाता है। यह कमजोरी प्रकाशित हुई थी 08/01/2013 द्वारा aaron के रूप में Posting (वेबसाइट). isc.sans.edu पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।

यह सुरक्षा कमजोरी CVE-2013-0155 के रूप में संदर्भित है। 06/12/2012 पर CVE आवंटित किया गया था. टेक्निकल जानकारी उपलब्ध है. यह भेद्यता सामान्य से कम लोकप्रिय है। इसके अलावा, एक शोषण उपलब्ध है. यह एक्सप्लॉइट सार्वजनिक रूप से उजागर हो चुका है और इसका दुरुपयोग संभव है। इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1068 है.

इसे अवधारणा प्रमाण घोषित किया गया है। डाउनलोड के लिए एक्सप्लॉइट blog.phusion.nl पर उपलब्ध है। इस भेद्यता को कम से कम 5 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $0-$5k थी। Nessus द्वारा 75237 आईडी वाला एक प्लगइन दिया गया है। इसे SuSE Local Security Checks फैमिली के अंतर्गत रखा गया है। यह 0 पोर्ट पर आधारित है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 121907 प्लगइन से कर सकता है (Fedora Security Update for rubygem-actionpack (FEDORA-2013-2363)).

यदि आप 3.2.11 संस्करण में अपग्रेड करते हैं, तो यह समस्या हल हो सकती है। यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 57192), Secunia (SA51753), SecurityTracker (ID 1027960), Vulnerability Center (SBV-38008) , Tenable (75237).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.5
VulDB मेटा अस्थायी स्कोर: 5.9

VulDB मूल स्कोर: 6.5
VulDB अस्थायी स्कोर: 5.9
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: अधिकार वृद्धि
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 75237
Nessus नाम: openSUSE Security Update : rubygem-actionpack-3_2 (openSUSE-SU-2013:1906-1)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Port: 🔍

OpenVAS ID: 892609
OpenVAS नाम: Debian Security Advisory DSA 2609-1 (rails - SQL query manipulation
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: Ruby on Rails 3.2.11
PaloAlto IPS: 🔍

समयरेखाजानकारी

06/12/2012 🔍
03/01/2013 +28 दिन 🔍
08/01/2013 +5 दिन 🔍
08/01/2013 +0 दिन 🔍
08/01/2013 +0 दिन 🔍
08/01/2013 +0 दिन 🔍
09/01/2013 +1 दिन 🔍
09/01/2013 +0 दिन 🔍
10/01/2013 +1 दिन 🔍
13/01/2013 +3 दिन 🔍
13/01/2013 +0 दिन 🔍
13/06/2014 +516 दिन 🔍
22/04/2021 +2505 दिन 🔍

स्रोतजानकारी

सलाह: isc.sans.edu
शोधकर्ता: aaron
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2013-0155 (🔍)
GCVE (CVE): GCVE-0-2013-0155
GCVE (VulDB): GCVE-100-7308

OVAL: 🔍

SecurityFocus: 57192 - Ruby on Rails CVE-2013-0155 Unsafe SQL Query Generation Vulnerability
Secunia: 51753 - Ruby on Rails XML Parameter Parsing Vulnerability, Highly Critical
OSVDB: 89025
SecurityTracker: 1027960 - Ruby on Rails Active Record Bug Lets Remote Users Generate Unsafe Queries
Vulnerability Center: 38008 - Ruby on Rails Remote Limited DB Write due to Improper Parsing of Parameters, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
विविध: 🔍
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 10/01/2013 05:51 PM
अद्यतनित: 22/04/2021 06:45 AM
परिवर्तन: 10/01/2013 05:51 PM (83), 26/08/2017 06:40 AM (12), 22/04/2021 06:45 AM (3)
पूर्ण: 🔍
संपादक:
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!