CWE-1337 · Слабости из списка 25 наиболее опасных слабостей программного обеспечения CWE Top 25 2021 года

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1337ПредставлениеСтабильный

Абстракция: Представление

Статус: Стабильный

Источник ↗

Слабости из списка 25 наиболее опасных слабостей программного обеспечения CWE Top 25 2021 года

Записи CWE в данном представлении включены в список 25 наиболее опасных слабостей программного обеспечения CWE Top 25 2021 года.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-47889Action Mailer - это фреймворк для проектирования уровней почтовых сервисов. Начиная с версии 3.0.0 и до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 и 7.2.1.1, существует возможная уязвимость ReDoS в хелпере block_format в Action Mailer. Тщательно разработанный текст может привести к тому, что хелпер block_format займет неожиданно много времени, что может привести к уязвимости DoS. Всем пользователям, использующим затронутый релиз, следует либо обновиться до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 или 7.2.1.1, либо немедленно применить соответствующий патч. В качестве обходного пути пользователи могут избегать вызова хелпера `block_format` или обновиться до Ruby 3.2. Ruby 3.2 имеет средства защиты от этой проблемы, поэтому приложения Rails, использующие Ruby 3.2 или более новую версию, не подвержены этой проблеме. Rails 8.0.0.beta1 требует Ruby 3.2 или более поздней версии, поэтому не подвержен этой проблеме.

CVE-2024-47888Action Text добавляет контент rich text и редактирование в Rails. Начиная с версии 6.0.0 и до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 и 7.2.1.1, существует возможная уязвимость ReDoS в хелпере `plain_text_for_blockquote_node` в Action Text. Тщательно разработанный текст может привести к тому, что хелпер `plain_text_for_blockquote_node` займет неожиданно много времени, что может привести к уязвимости DoS. Всем пользователям, использующим затронутый релиз, следует либо обновиться до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 или 7.2.1.1, либо немедленно применить соответствующий патч. В качестве обходного пути пользователи могут избегать вызова `plain_text_for_blockquote_node` или обновиться до Ruby 3.2. Ruby 3.2 имеет средства защиты от этой проблемы, поэтому приложения Rails, использующие Ruby 3.2 или более новую версию, не подвержены этой проблеме. Rails 8.0.0.beta1 зависит от Ruby 3.2 или более поздней версии, поэтому не подвержен этой проблеме.

CVE-2024-47887Action Pack - это фреймворк для обработки веб-запросов и ответов на них. Начиная с версии 4.0.0 и до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 и 7.2.1.1, существует возможная уязвимость ReDoS в аутентификации HTTP-токенов Action Controller. Для приложений, использующих аутентификацию HTTP-токенов через `authenticate_or_request_with_http_token` или аналогичные методы, тщательно разработанный заголовок может привести к тому, что разбор заголовка займет неожиданно много времени, что может привести к уязвимости DoS. Всем пользователям, использующим затронутый релиз, следует либо обновиться до версий 6.1.7.9, 7.0.8.5, 7.1.4.1 или 7.2.1.1, либо немедленно применить соответствующий патч. В качестве обходного пути можно использовать Ruby 3.2. Ruby 3.2 имеет средства защиты от этой проблемы, поэтому приложения Rails, использующие Ruby 3.2 или более новую версию, не подвержены этой проблеме. Rails 8.0.0.beta1 зависит от Ruby 3.2 или более поздней версии, поэтому не подвержен этой проблеме.