Ruby193-rubygem-haml
Уязвимости
48
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.87264
Распределение по критичности
Критический
4
Высокий
5
Средний
36
Низкий
3
Также сопоставлено как (исходные строки): ruby193-rubygem-haml
Топ уязвимостей
CVE-2014-0007Smart-Proxy в Foreman до версии 1.4.5 и 1.5.x до версии 1.5.1 позволяет удаленным злоумышленникам выполнять произвольные команды через shell metacharacters в параметре path для tftp/fetch_boot_file.
CVE-2014-0234Конфигурация по умолчанию broker.conf в Red Hat OpenShift Enterprise 2.x до 2.1 имеет пароль "mooo" для учетной записи Mongo, что позволяет удаленным злоумышленникам перехватить брокер, предоставив этот пароль, связанный со скриптом openshift.sh в Openshift Extras до 20130920. ПРИМЕЧАНИЕ: это может частично совпадать с CVE-2013-4253 и CVE-2013-4281.
CVE-2014-0175mcollective имеет пароль по умолчанию, установленный при установке.
CVE-2009-3555Протокол TLS, а также протокол SSL 3.0 и, возможно, более ранние версии, используемые в Microsoft Internet Information Services (IIS) 7.0, mod_ssl в Apache HTTP Server 2.2.14 и более ранних версиях, OpenSSL до 0.9.8l, GnuTLS 2.8.5 и более ранних версиях, Mozilla Network Security Services (NSS) 3.12.4 и более ранних версиях, нескольких продуктах Cisco и других продуктах, неправильно связывает рукопожатия пересогласования с существующим соединением, что позволяет злоумышленникам "человек посередине" вставлять данные в HTTPS-сессии и, возможно, другие типы сессий, защищенные TLS или SSL, отправляя неаутентифицированный запрос, который обрабатывается ретроактивно сервером в контексте после пересогласования, что связано с атакой "plaintext injection", также известной как проблема "Project Mogul".
CVE-2013-4225Модуль RESTful Web Services (restws) 7.x-1.x до 7.x-1.4 и 7.x-2.x до 7.x-2.1 для Drupal неправильно ограничивает доступ к операциям записи сущностей, что облегчает удаленным аутентифицированным пользователям с разрешениями "access resource node" и "create page content" (или эквивалентными) проводить межсайтовый скриптинг (XSS) или выполнять произвольный PHP-код через специально созданное текстовое поле.
CVE-2013-0185Уязвимость межсайтовой подделки запросов (CSRF) в ManageIQ Enterprise Virtualization Manager (EVM) позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые имеют неуказанное воздействие через неизвестные векторы.
CVE-2013-4172Red Hat CloudForms Management Engine 5.1 позволяет удаленным администраторам выполнять произвольный код Ruby через неуказанные векторы.
CVE-2013-2050Уязвимость SQL-инъекции в контроллере miq_policy в Red Hat CloudForms 2.0 Management Engine (CFME) 5.1 и ManageIQ Enterprise Virtualization Manager 5.0 и более ранних версий позволяет удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через параметр profile[] в действии explorer.
CVE-2013-2049Red Hat CloudForms 2 Management Engine (CFME) позволяет удаленным злоумышленникам проводить атаки с подменой сессии, используя статический секрет secret_token.rb.
CVE-2014-1704Множественные неуказанные уязвимости в Google V8 до версии 3.23.17.18, используемом в Google Chrome до версии 33.0.1750.149, позволяют злоумышленникам вызвать отказ в обслуживании или, возможно, оказать другое воздействие через неизвестные векторы.
CVE-2013-6650Функция StoreBuffer::ExemptPopularPages в store-buffer.cc в Google V8 до версии 3.22.24.16, используемом в Google Chrome до версии 32.0.1700.102, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (повреждение памяти) или, возможно, оказать другое неуказанное воздействие через векторы, которые вызывают неправильную обработку "популярных страниц".
CVE-2013-6639Функция DehoistArrayIndex в hydrogen-dehoist.cc (aka hydrogen.cc) в Google V8 до версии 3.22.24.7, используемом в Google Chrome до версии 31.0.1650.63, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (запись за пределами выделенной памяти) или, возможно, оказать другое неуказанное воздействие через код JavaScript, который устанавливает значение элемента массива с помощью специально созданного индекса.
CVE-2013-2882Google V8, используемый в Google Chrome до версии 28.0.1500.95, позволяет удаленным злоумышленникам вызывать отказ в обслуживании или, возможно, оказывать другое не указанное воздействие через векторы, использующие "путаницу типов".
CVE-2013-4182app/controllers/api/v1/hosts_controller.rb в Foreman до 1.2.2 неправильно ограничивает доступ к хостам, что позволяет удаленным злоумышленникам получать доступ к произвольным хостам через API-запрос.
CVE-2013-0196Проблема CSRF была обнаружена в OpenShift Enterprise 1.2. Веб-консоль использует "базовую аутентификацию", а REST API не имеет механизма защиты от атак CSRF. Это может позволить злоумышленнику получить учетные данные и заголовок Authorization: при запросе REST API через веб-браузер.
CVE-2015-3235Foreman до версии 1.9.0 позволяет удаленным аутентифицированным пользователям с разрешением edit_users редактировать учетные записи администраторов и изменять их пароли через неуказанные векторы.
CVE-2014-3642vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, связанные с "небезопасным методом отправки".
CVE-2014-0089Уязвимость межсайтового скриптинга (XSS) в app/views/common/500.html.erb в Foreman 1.4.x до 1.4.2 позволяет удаленным аутентифицированным пользователям внедрять произвольный веб-скрипт или HTML через имя закладки при добавлении закладки.
CVE-2013-2121Уязвимость внедрения Eval в методе create в контроллере Bookmarks в Foreman до версии 1.2.0-RC2 позволяет удаленным аутентифицированным пользователям с разрешениями на создание закладок выполнять произвольный код через атрибут имени контроллера.
CVE-2014-4616Ошибка индексации массива в функции scanstring в модуле _json в Python 2.7 до 3.5 и simplejson до 2.6.1 позволяет зависящим от контекста злоумышленникам читать произвольную память процесса через отрицательное значение индекса в аргументе idx функции raw_decode.
CVE-2013-7440Функция ssl.match_hostname в CPython (также известной как Python) до 2.7.9 и 3.x до 3.3.3 неправильно обрабатывает подстановочные знаки в именах хостов, что может позволить злоумышленникам типа "человек посередине" подменять серверы через специально созданный сертификат.
CVE-2013-6640Функция DehoistArrayIndex в hydrogen-dehoist.cc (aka hydrogen.cc) в Google V8 до версии 3.22.24.7, используемом в Google Chrome до версии 31.0.1650.63, позволяет удаленным злоумышленникам вызвать отказ в обслуживании (чтение за пределами выделенной памяти) через код JavaScript, который присваивает переменной значение элемента массива с помощью специально созданного индекса.
CVE-2012-6619Конфигурация по умолчанию для MongoDB до версии 2.3.2 не проверяет объекты, что позволяет удаленным аутентифицированным пользователям вызывать отказ в обслуживании (сбой) или читать системную память через специально созданный объект BSON в имени столбца в команде insert, что приводит к переполнению буфера при чтении.
CVE-2014-0084Ruby gem openshift-origin-node до 2014-02-14 не содержит тайм-аут cronjob, что может привести к отказу в обслуживании в cron.daily и cron.weekly.
CVE-2013-4423CloudForms хранит пароли пользователей в восстанавливаемом формате.