CVE-2013-0156 in Ruby on Rails
Tóm tắt
Bởi VulDB • 03/07/2026
active_support/core_ext/hash/conversions.rb trong Ruby on Rails trước phiên bản 2.3.15, các phiên bản nhánh 3.0.x trước 3.0.19, các phiên bản nhánh 3.1.x trước 3.1.10 và các phiên bản nhánh 3.2.x trước 3.2.11 không hạn chế đúng cách việc ép kiểu (cast) các giá trị chuỗi, cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công object-injection và thực thi mã tùy ý, hoặc gây ra tình trạng từ chối dịch vụ (tiêu thụ bộ nhớ và CPU) liên quan đến các tham chiếu thực thể XML lồng nhau, bằng cách khai thác hỗ trợ của Action Pack đối với (1) chuyển đổi kiểu YAML hoặc (2) chuyển đổi kiểu Symbol.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.