Bundler
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.0841
Распределение по критичности
Критический
0
Высокий
1
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): bundler
Топ уязвимостей
CVE-2020-36327Bundler 1.16.0 до 2.2.9 и 2.2.11 до 2.2.16 иногда выбирает источник зависимостей на основе самого высокого номера версии gem, что означает, что может быть выбран мошеннический gem, найденный в общедоступном источнике, даже если предполагаемым выбором был частный gem, который является зависимостью другого частного gem, от которого явно зависит приложение. ПРИМЕЧАНИЕ: неправильно использовать CVE-2021-24105 для каждой проблемы "Dependency Confusion" в каждом продукте.
CVE-2019-3881Bundler до версии 2.1.0 использует предсказуемый путь в /tmp/, созданный с небезопасными разрешениями в качестве места хранения gems, если местоположения в домашнем каталоге пользователя недоступны. Если Bundler используется в сценарии, где у пользователя нет доступного для записи домашнего каталога, злоумышленник может поместить вредоносный код в этот каталог, который будет загружен и выполнен позже.
CVE-2013-0334Bundler версий до 1.7, когда используется несколько строк источника верхнего уровня, позволяет удаленным злоумышленникам устанавливать произвольные gems, создав gem с тем же именем, что и другой gem в другом источнике.
CVE-2016-7954Bundler 1.x может позволить удаленным злоумышленникам внедрять произвольный код Ruby в приложение, используя коллизию имен gem на вторичном источнике. ПРИМЕЧАНИЕ: это может пересекаться с CVE-2013-0334.