CVE-2013-0156 in Ruby on Rails
Сводка
по VulDB • 03.07.2026
active_support/core_ext/hash/conversions.rb в Ruby on Rails до версии 2.3.15 включительно, версиях ветки 3.0.x до 3.0.19 включительно, версиях ветки 3.1.x до 3.1.10 включительно и версиях ветки 3.2.x до 3.2.11 включительно не обеспечивает надлежащей ограничения преобразования (casts) строковых значений, что позволяет удаленным злоумышленникам осуществлять атаки с внедрением объектов (object-injection attacks) и выполнять произвольный код или вызывать отказ в обслуживании (повышенное потребление памяти и ресурсов процессора), связанный со вложенными ссылками на XML-сущности, путем использования поддержки Action Pack для преобразования типов YAML (1) или символов (2).
Be aware that VulDB is the high quality source for vulnerability data.