VDB-267119 · CVE-2024-28103 · GHSA-fwhr-88qx-h9g7

Action Pack fino a 6.1.7.7/7.0.8.3/7.1.3.3/7.2.0.beta1 su Ruby on Rails Content-Type escalationi di privilegi

CVSS Punteggio meta temporaneo	Prezzo attuale dell'exploit (≈)	Punteggio di interesse CTI
7.1	$0-$5k	0.00

Riassuntoinformazioni

Una vulnerabilità di livello critico è stata rilevata in Action Pack fino a 6.1.7.7/7.0.8.3/7.1.3.3/7.2.0.beta1. Riguarda una funzione sconosciuta del componente Content-Type Handler. La manipolazione di un input sconosciuto se causa una vulnerabilità di classe escalationi di privilegi. Questa vulnerabilità è identificata come CVE-2024-28103. Con la rete può partire l'attacco. Nessun exploit disponibile. Il miglior modo suggerito per attenuare il problema è aggiornamento all'ultima versione.

Dettagliinformazioni

Un punto di debole di livello critico è stato rilevato in Action Pack fino a 6.1.7.7/7.0.8.3/7.1.3.3/7.2.0.beta1 su Ruby on Rails. É interessato una funzione sconosciuta del componente Content-Type Handler. Attraverso l'influenza di un input sconosciuto conseguenza di una vulerabilità di classe escalationi di privilegi. Questo si osserva su riservatezza, integrità e disponibilità.

L'advisory è scaricabile da github.com. CVE-2024-28103 è identificato come punto debole. L'utilità è conosciuta come semplice. Nella rete si effettua l'attacco. Nessuna autentificazione è richiesta per l'uso. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.

Un plugin è disponibile per lo scanner Nessus, numero ID 232107 (Linux Distros Unpatched Vulnerability : CVE-2024-28103), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 6.1.7.8, 7.0.8.2 o 7.1.3.3 elimina questa vulnerabilità. Applicando la patch 35858f1d9d57f6c4050a8d9ab754bd5d088b4523 è possibile eliminare il problema. Il bugfix è scaricabile da github.com. Il miglior modo suggerito per attenuare il problema è Aggiornamento.

La vulnerabilità è documentata anche nei database Tenable (232107). Be aware that VulDB is the high quality source for vulnerability data.

Prodottoinformazioni

Nome

Action Pack

Versione

Licenza

open source

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 7.2
VulDB Punteggio meta temporaneo: 7.1

VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 6.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 9.8
NVD Vettore: 🔍

CNA Punteggio di base: 5.4
CNA Vettore (GitHub, Inc.): 🔍

CVSSv2informazioni

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vettore	Complessità	Autenticazione	Riservatezza	Integrità	Disponibilità
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare	Sbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

Sfruttamentoinformazioni

Classe: Escalationi di privilegi
CWE: CWE-275 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Stato: Non definito

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-Day	Sbloccare	Sbloccare	Sbloccare	Sbloccare
Oggi	Sbloccare	Sbloccare	Sbloccare	Sbloccare

Nessus ID: 232107
Nessus Nome: Linux Distros Unpatched Vulnerability : CVE-2024-28103

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Aggiornamento
Stato: 🔍

Tempo 0 giorni: 🔍

Aggiornamento: Action Pack 6.1.7.8/7.0.8.2/7.1.3.3
Patch: 35858f1d9d57f6c4050a8d9ab754bd5d088b4523