Ruby193-rubygem-actionmailer
Уязвимости
18
Эксплуатируемые
1
Макс. CVSS
8.8
Макс. EPSS
0.54312
Распределение по критичности
Критический
0
Высокий
5
Средний
13
Низкий
0
Также сопоставлено как (исходные строки): ruby193-rubygem-actionmailer
Топ уязвимостей
CVE-2013-0185Уязвимость межсайтовой подделки запросов (CSRF) в ManageIQ Enterprise Virtualization Manager (EVM) позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые имеют неуказанное воздействие через неизвестные векторы.
CVE-2013-4172Red Hat CloudForms Management Engine 5.1 позволяет удаленным администраторам выполнять произвольный код Ruby через неуказанные векторы.
CVE-2014-0130Уязвимость перехода по директориям в actionpack/lib/abstract_controller/base.rb в реализации неявного рендеринга в Ruby on Rails до версии 3.2.18, 4.0.x до версии 4.0.5 и 4.1.x до версии 4.1.1, когда определенные конфигурации маршрутов с 'glob' включены, позволяют удаленным злоумышленникам считывать произвольные файлы через подготовленный запрос.
CVE-2013-2050Уязвимость SQL-инъекции в контроллере miq_policy в Red Hat CloudForms 2.0 Management Engine (CFME) 5.1 и ManageIQ Enterprise Virtualization Manager 5.0 и более ранних версий позволяет удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через параметр profile[] в действии explorer.
CVE-2013-2049Red Hat CloudForms 2 Management Engine (CFME) позволяет удаленным злоумышленникам проводить атаки с подменой сессии, используя статический секрет secret_token.rb.
CVE-2013-0196Проблема CSRF была обнаружена в OpenShift Enterprise 1.2. Веб-консоль использует "базовую аутентификацию", а REST API не имеет механизма защиты от атак CSRF. Это может позволить злоумышленнику получить учетные данные и заголовок Authorization: при запросе REST API через веб-браузер.
CVE-2014-3642vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, связанные с "небезопасным методом отправки".
CVE-2013-4423CloudForms хранит пароли пользователей в восстанавливаемом формате.
CVE-2013-6414actionpack/lib/action_view/lookup_context.rb в Action View в Ruby on Rails 3.x до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти) через заголовок, содержащий недопустимый MIME-тип, что приводит к чрезмерному кэшированию.
CVE-2013-1901PostgreSQL 9.2.x до 9.2.4 и 9.1.x до 9.1.9 неправильно проверяет привилегии REPLICATION, что позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения резервного копирования, вызывая функции (1) pg_start_backup или (2) pg_stop_backup.
CVE-2013-1899Уязвимость инъекции аргументов в PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9 и 9.0.x до 9.0.13 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение файла) и позволяет удаленным аутентифицированным пользователям изменять параметры конфигурации и выполнять произвольный код через запрос соединения, использующий имя базы данных, начинающееся с "-" (дефис).
CVE-2014-0140Red Hat CloudForms 3.1 Management Engine (CFME) до 5.3 позволяет удаленным аутентифицированным пользователям получать доступ к конфиденциальным контроллерам и действиям через прямой HTTP- или HTTPS-запрос.
CVE-2013-6415Межсайтовый скриптинг (XSS) в хелпере number_to_currency в actionpack/lib/action_view/helpers/number_helper.rb в Ruby on Rails до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр unit.
CVE-2013-4491Уязвимость межсайтового скриптинга (XSS) в actionpack/lib/action_view/helpers/translation_helper.rb в компоненте интернационализации в Ruby on Rails 3.x до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданную строку, которая запускает создание резервной строки гемом i18n.
CVE-2013-1900PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9, 9.0.x до 9.0.13 и 8.4.x до 8.4.17, при использовании OpenSSL, генерирует недостаточно случайные числа, что может позволить удаленным аутентифицированным пользователям оказывать неуказанное воздействие через векторы, связанные с "функциями contrib/pgcrypto".
CVE-2013-1857Вспомогательная функция sanitize в lib/action_controller/vendor/html-scanner/html/sanitizer.rb в компоненте Action Pack в Ruby on Rails до версий 2.3.18, 3.0.x и 3.1.x до 3.1.12 и 3.2.x до 3.2.13 неправильно обрабатывает закодированные символы : (двоеточие) в URL-адресах, что облегчает удаленным злоумышленникам проведение атак межсайтового скриптинга (XSS) через специально созданное имя схемы, как продемонстрировано включением последовательности :.
CVE-2013-1855Метод sanitize_css в lib/action_controller/vendor/html-scanner/html/sanitizer.rb в компоненте Action Pack в Ruby on Rails до версий 2.3.18, 3.0.x и 3.1.x до 3.1.12 и 3.2.x до 3.2.13 неправильно обрабатывает символы \n (новой строки), что облегчает удаленным злоумышленникам проведение атак межсайтового скриптинга (XSS) через специально созданные последовательности токенов Cascading Style Sheets (CSS).
CVE-2013-1854Компонент Active Record в Ruby on Rails версий 2.3.x до 2.3.18, 3.1.x до 3.1.12 и 3.2.x до 3.2.13 обрабатывает определенные запросы путем преобразования ключей хеша в символы, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании через специально созданный ввод в метод where.