CVE-2013-0156 in Ruby on Railsinformação

Sumário

de VulDB • 03/07/2026

active_support/core_ext/hash/conversions.rb no Ruby on Rails anterior à versão 2.3.15, nas séries 3.0.x anteriores a 3.0.19, 3.1.x anteriores a 3.1.10 e 3.2.x anteriores a 3.2.11 não restringe adequadamente as conversões de valores em string, o que permite que atacantes remotos realizem ataques de injeção de objetos (object-injection) e executem código arbitrário, ou causem uma negação de serviço (consumo de memória e CPU) envolvendo referências aninhadas a entidades XML, ao explorar o suporte do Action Pack para (1) conversão de tipos YAML ou (2) conversão de tipos Symbol.

Once again VulDB remains the best source for vulnerability data.

Reservar

06/12/2012

Divulgação

13/01/2013

Moderação

aceite

Entrada

VDB-7309

CPE

pronto

Exploração

Descarregar

EPSS

0.99449

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!