Ruby on Rails 3.0/4.0 rails-html-sanitizer क्रॉस साइट स्क्रिप्टिंग

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.4$0-$5k0.00

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Ruby on Rails 3.0/4.0 में पाई गई है। प्रभावित होता है फ़ंक्शन rails-html-sanitizer। यह संशोधन क्रॉस साइट स्क्रिप्टिंग का कारण बन सकता है। इस संवेदनशीलता को CVE-2015-7578 के रूप में जाना जाता है। हमला दूरस्थ रूप से शुरू किया जा सकता है। कोई एक्सप्लॉइट नहीं मिला है. प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे समस्याग्रस्त के रूप में वर्गीकृत किया गया है, Ruby on Rails 3.0/4.0 में पाई गई है। प्रभावित होता है फ़ंक्शन rails-html-sanitizer। यह संशोधन क्रॉस साइट स्क्रिप्टिंग का कारण बन सकता है। CWE के माध्यम से समस्या घोषित करने पर CWE-79 मिलता है। इस कमजोरी को प्रकाशित किया गया था 25/01/2016 द्वारा Ben Murphy के रूप में Release Notes (वेबसाइट). सलाह weblog.rubyonrails.org पर डाउनलोड हेतु साझा की गई है।

इस संवेदनशीलता को CVE-2015-7578 के रूप में जाना जाता है। 29/09/2015 को CVE असाइन किया गया था. हमला दूरस्थ रूप से शुरू किया जा सकता है। टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। कोई एक्सप्लॉइट नहीं मिला है. वर्तमान में एक एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है। अगर T1059.007 की वैल्यू है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक टेक्नीक को T1059.007 के रूप में घोषित करता है।

0-डे के तौर पर इसकी अनुमानित अवैध बाजार कीमत करीब $0-$5k थी. Nessus वल्नरेबिलिटी स्कैनर 88606 आईडी के साथ एक प्लगइन उपलब्ध कराता है। यह SuSE Local Security Checks परिवार को सौंपा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 124814 प्लगइन से कर सकता है (Fedora Security Update for rubygem-rails-html-sanitizer (FEDORA-2016-3a2606f993)).

इस समस्या का समाधान 3.2.22.1, 4.1.14.1 , 4.2.5.1 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 81802), X-Force (110101), Vulnerability Center (SBV-57267) , Tenable (88606).

उत्पादजानकारी

प्रकार

नाम

संस्करण

लाइसेंस

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 5.7
VulDB मेटा अस्थायी स्कोर: 5.4

VulDB मूल स्कोर: 5.4
VulDB अस्थायी स्कोर: 4.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 6.1
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: क्रॉस साइट स्क्रिप्टिंग
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 88606
Nessus नाम: openSUSE Security Update : rubygem-rails-html-sanitizer (openSUSE-2016-148)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 867773
OpenVAS नाम: Fedora Update for rubygem-rails-html-sanitizer FEDORA-2016-59
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: Ruby on Rails 3.2.22.1/4.1.14.1/4.2.5.1
पैच: github.com

समयरेखाजानकारी

29/09/2015 🔍
25/01/2016 +118 दिन 🔍
25/01/2016 +0 दिन 🔍
25/01/2016 +0 दिन 🔍
27/01/2016 +2 दिन 🔍
15/02/2016 +19 दिन 🔍
03/03/2016 +17 दिन 🔍
14/03/2016 +11 दिन 🔍
06/07/2022 +2305 दिन 🔍

स्रोतजानकारी

सलाह: 297161e29a3e11186ce4c02bf7defc088bf544d4
शोधकर्ता: Ben Murphy
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2015-7578 (🔍)
GCVE (CVE): GCVE-0-2015-7578
GCVE (VulDB): GCVE-100-80677
X-Force: 110101 - Ruby on Rails rails-html-sanitizer cross-site scripting
SecurityFocus: 81802 - Ruby on Rails rails-html-sanitizer Multple Cross Site Scripting Vulnerabilities
SecurityTracker: 1034816
Vulnerability Center: 57267 - ails-html-sanitizer gem 1.0.2 for Ruby on Rails Remote XSS via a Crafted Tag Attributes, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 27/01/2016 10:45 AM
अद्यतनित: 06/07/2022 10:41 AM
परिवर्तन: 27/01/2016 10:45 AM (45), 31/01/2019 01:37 PM (40), 06/07/2022 10:29 AM (6), 06/07/2022 10:35 AM (1), 06/07/2022 10:41 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!