CVE-2013-0156 in Ruby on Railsthông tin

Tóm tắt

Bởi VulDB • 03/07/2026

active_support/core_ext/hash/conversions.rb trong Ruby on Rails trước phiên bản 2.3.15, các phiên bản nhánh 3.0.x trước 3.0.19, các phiên bản nhánh 3.1.x trước 3.1.10 và các phiên bản nhánh 3.2.x trước 3.2.11 không hạn chế đúng cách việc ép kiểu (cast) các giá trị chuỗi, cho phép kẻ tấn công từ xa thực hiện các cuộc tấn công object-injection và thực thi mã tùy ý, hoặc gây ra tình trạng từ chối dịch vụ (tiêu thụ bộ nhớ và CPU) liên quan đến các tham chiếu thực thể XML lồng nhau, bằng cách khai thác hỗ trợ của Action Pack đối với (1) chuyển đổi kiểu YAML hoặc (2) chuyển đổi kiểu Symbol.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Đặt trước

06/12/2012

Tiết lộ

13/01/2013

Kiểm duyệt

được chấp nhận

mục

VDB-7309

Khai thác

Tải xuống

EPSS

0.99449

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!