Ruby193-rubygem-activesupport
Уязвимости
26
Эксплуатируемые
2
Макс. CVSS
8.8
Макс. EPSS
0.99449
Распределение по критичности
Критический
0
Высокий
9
Средний
16
Низкий
1
Также сопоставлено как (исходные строки): ruby193-rubygem-activesupport
Топ уязвимостей
CVE-2013-0185Уязвимость межсайтовой подделки запросов (CSRF) в ManageIQ Enterprise Virtualization Manager (EVM) позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые имеют неуказанное воздействие через неизвестные векторы.
CVE-2013-4172Red Hat CloudForms Management Engine 5.1 позволяет удаленным администраторам выполнять произвольный код Ruby через неуказанные векторы.
CVE-2016-0752Уязвимость обхода каталога в Action View в Ruby on Rails до 3.2.22.1, 4.0.x и 4.1.x до 4.1.14.1, 4.2.x до 4.2.5.1 и 5.x до 5.0.0.beta1.1 позволяет удаленным злоумышленникам читать произвольные файлы, используя неограниченное применение метода render приложения и предоставляя .. (двойная точка) в пути.
CVE-2016-0751actionpack/lib/action_dispatch/http/mime_type.rb в Action Pack в Ruby on Rails до версий 3.2.22.1, 4.0.x и 4.1.x до 4.1.14.1, 4.2.x до 4.2.5.1 и 5.x до 5.0.0.beta1.1 неправильно ограничивает использование кеша MIME-типов, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через специально созданный HTTP-заголовок Accept.
CVE-2014-0130Уязвимость перехода по директориям в actionpack/lib/abstract_controller/base.rb в реализации неявного рендеринга в Ruby on Rails до версии 3.2.18, 4.0.x до версии 4.0.5 и 4.1.x до версии 4.1.1, когда определенные конфигурации маршрутов с 'glob' включены, позволяют удаленным злоумышленникам считывать произвольные файлы через подготовленный запрос.
CVE-2013-2050Уязвимость SQL-инъекции в контроллере miq_policy в Red Hat CloudForms 2.0 Management Engine (CFME) 5.1 и ManageIQ Enterprise Virtualization Manager 5.0 и более ранних версий позволяет удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через параметр profile[] в действии explorer.
CVE-2013-2049Red Hat CloudForms 2 Management Engine (CFME) позволяет удаленным злоумышленникам проводить атаки с подменой сессии, используя статический секрет secret_token.rb.
CVE-2013-0156active_support/core_ext/hash/conversions.rb в Ruby on Rails до версий 2.3.15, 3.0.x до 3.0.19, 3.1.x до 3.1.10 и 3.2.x до 3.2.11 неправильно ограничивает приведение строковых значений, что позволяет удаленным злоумышленникам проводить атаки с внедрением объектов и выполнять произвольный код или вызывать отказ в обслуживании (потребление памяти и ЦП), связанные с вложенными ссылками на сущности XML, используя поддержку Action Pack для (1) преобразования типов YAML или (2) преобразования типов Symbol.
CVE-2016-2098Action Pack в Ruby on Rails до 3.2.22.2, 4.x до 4.1.14.2 и 4.2.x до 4.2.5.2 позволяет удаленным злоумышленникам выполнять произвольный код Ruby, используя неограниченное использование приложением метода render.
CVE-2013-0196Проблема CSRF была обнаружена в OpenShift Enterprise 1.2. Веб-консоль использует "базовую аутентификацию", а REST API не имеет механизма защиты от атак CSRF. Это может позволить злоумышленнику получить учетные данные и заголовок Authorization: при запросе REST API через веб-браузер.
CVE-2014-3642vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, связанные с "небезопасным методом отправки".
CVE-2013-4423CloudForms хранит пароли пользователей в восстанавливаемом формате.
CVE-2016-2097Уязвимость обхода каталога в Action View в Ruby on Rails до 3.2.22.2 и 4.x до 4.1.14.2 позволяет удаленным злоумышленникам читать произвольные файлы, используя неограниченное использование приложением метода render и предоставляя .. (две точки) в имени пути. ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2016-0752.
CVE-2015-7577activerecord/lib/active_record/nested_attributes.rb в Active Record в Ruby on Rails 3.1.x и 3.2.x версий до 3.2.22.1, 4.0.x и 4.1.x версий до 4.1.14.1, 4.2.x версий до 4.2.5.1 и 5.x версий до 5.0.0.beta1.1 неправильно реализует определенную опцию destroy, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения изменений путем использования функции nested attributes.
CVE-2013-6414actionpack/lib/action_view/lookup_context.rb в Action View в Ruby on Rails 3.x до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти) через заголовок, содержащий недопустимый MIME-тип, что приводит к чрезмерному кэшированию.
CVE-2013-1901PostgreSQL 9.2.x до 9.2.4 и 9.1.x до 9.1.9 неправильно проверяет привилегии REPLICATION, что позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения резервного копирования, вызывая функции (1) pg_start_backup или (2) pg_stop_backup.
CVE-2013-1899Уязвимость инъекции аргументов в PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9 и 9.0.x до 9.0.13 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение файла) и позволяет удаленным аутентифицированным пользователям изменять параметры конфигурации и выполнять произвольный код через запрос соединения, использующий имя базы данных, начинающееся с "-" (дефис).
CVE-2013-0256darkfish.js в RDoc 2.3.0–3.12 и 4.x до 4.0.0.preview2.1, используемый в Ruby, неправильно генерирует документы, что позволяет удаленным злоумышленникам проводить межсайтовые скриптинговые (XSS) атаки посредством специально созданного URL.
CVE-2014-0140Red Hat CloudForms 3.1 Management Engine (CFME) до 5.3 позволяет удаленным аутентифицированным пользователям получать доступ к конфиденциальным контроллерам и действиям через прямой HTTP- или HTTPS-запрос.
CVE-2013-6415Межсайтовый скриптинг (XSS) в хелпере number_to_currency в actionpack/lib/action_view/helpers/number_helper.rb в Ruby on Rails до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр unit.
CVE-2013-4491Уязвимость межсайтового скриптинга (XSS) в actionpack/lib/action_view/helpers/translation_helper.rb в компоненте интернационализации в Ruby on Rails 3.x до 3.2.16 и 4.x до 4.0.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданную строку, которая запускает создание резервной строки гемом i18n.
CVE-2013-1900PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9, 9.0.x до 9.0.13 и 8.4.x до 8.4.17, при использовании OpenSSL, генерирует недостаточно случайные числа, что может позволить удаленным аутентифицированным пользователям оказывать неуказанное воздействие через векторы, связанные с "функциями contrib/pgcrypto".
CVE-2013-1857Вспомогательная функция sanitize в lib/action_controller/vendor/html-scanner/html/sanitizer.rb в компоненте Action Pack в Ruby on Rails до версий 2.3.18, 3.0.x и 3.1.x до 3.1.12 и 3.2.x до 3.2.13 неправильно обрабатывает закодированные символы : (двоеточие) в URL-адресах, что облегчает удаленным злоумышленникам проведение атак межсайтового скриптинга (XSS) через специально созданное имя схемы, как продемонстрировано включением последовательности :.
CVE-2013-1855Метод sanitize_css в lib/action_controller/vendor/html-scanner/html/sanitizer.rb в компоненте Action Pack в Ruby on Rails до версий 2.3.18, 3.0.x и 3.1.x до 3.1.12 и 3.2.x до 3.2.13 неправильно обрабатывает символы \n (новой строки), что облегчает удаленным злоумышленникам проведение атак межсайтового скриптинга (XSS) через специально созданные последовательности токенов Cascading Style Sheets (CSS).
CVE-2013-1854Компонент Active Record в Ruby on Rails версий 2.3.x до 2.3.18, 3.1.x до 3.1.12 и 3.2.x до 3.2.13 обрабатывает определенные запросы путем преобразования ключей хеша в символы, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании через специально созданный ввод в метод where.