Ruby193-rubygem-more Core Extensions
Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.54312
Распределение по критичности
Критический
0
Высокий
5
Средний
10
Низкий
0
Также сопоставлено как (исходные строки): ruby193-rubygem-more_core_extensions
Топ уязвимостей
CVE-2013-0185Уязвимость межсайтовой подделки запросов (CSRF) в ManageIQ Enterprise Virtualization Manager (EVM) позволяет удаленным злоумышленникам перехватывать аутентификацию пользователей для запросов, которые имеют неуказанное воздействие через неизвестные векторы.
CVE-2013-4172Red Hat CloudForms Management Engine 5.1 позволяет удаленным администраторам выполнять произвольный код Ruby через неуказанные векторы.
CVE-2013-4164Переполнение буфера на основе кучи в Ruby 1.8, 1.9 до 1.9.3-p484, 2.0 до 2.0.0-p353, 2.1 до 2.1.0 preview2 и trunk до revision 43780 позволяет зависящим от контекста злоумышленникам вызывать отказ в обслуживании (ошибка сегментации) и, возможно, выполнять произвольный код через строку, которая преобразуется в значение с плавающей запятой, как продемонстрировано с использованием (1) метода to_f или (2) JSON.parse.
CVE-2013-2050Уязвимость SQL-инъекции в контроллере miq_policy в Red Hat CloudForms 2.0 Management Engine (CFME) 5.1 и ManageIQ Enterprise Virtualization Manager 5.0 и более ранних версий позволяет удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через параметр profile[] в действии explorer.
CVE-2013-2049Red Hat CloudForms 2 Management Engine (CFME) позволяет удаленным злоумышленникам проводить атаки с подменой сессии, используя статический секрет secret_token.rb.
CVE-2014-0057Метод x_button в ServiceController (vmdb/app/controllers/service_controller.rb) в Red Hat CloudForms 3.0 Management Engine 5.2 позволяет удаленным злоумышленникам выполнять произвольные методы через неуказанные векторы.
CVE-2013-0186Множественные уязвимости межсайтового скриптинга (XSS) в ManageIQ EVM позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2014-3642vmdb/app/controllers/application_controller/performance.rb в Red Hat CloudForms 3.1 Management Engine (CFME) до версии 5.3 позволяет удаленным аутентифицированным пользователям получать привилегии через неуказанные векторы, связанные с "небезопасным методом отправки".
CVE-2013-4423CloudForms хранит пароли пользователей в восстанавливаемом формате.
CVE-2014-0082actionpack/lib/action_view/template/text.rb в Action View в Ruby on Rails 3.x до 3.2.17 преобразует строки типа MIME в символы во время использования опции :text для метода render, что позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти), включив эти строки в заголовки.
CVE-2013-1901PostgreSQL 9.2.x до 9.2.4 и 9.1.x до 9.1.9 неправильно проверяет привилегии REPLICATION, что позволяет удаленным аутентифицированным пользователям обходить предполагаемые ограничения резервного копирования, вызывая функции (1) pg_start_backup или (2) pg_stop_backup.
CVE-2013-1899Уязвимость инъекции аргументов в PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9 и 9.0.x до 9.0.13 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (повреждение файла) и позволяет удаленным аутентифицированным пользователям изменять параметры конфигурации и выполнять произвольный код через запрос соединения, использующий имя базы данных, начинающееся с "-" (дефис).
CVE-2014-0140Red Hat CloudForms 3.1 Management Engine (CFME) до 5.3 позволяет удаленным аутентифицированным пользователям получать доступ к конфиденциальным контроллерам и действиям через прямой HTTP- или HTTPS-запрос.
CVE-2014-0081Множественные уязвимости межсайтового скриптинга (XSS) в actionview/lib/action_view/helpers/number_helper.rb в Ruby on Rails до 3.2.17, 4.0.x до 4.0.3 и 4.1.x до 4.1.0.beta2 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) format, (2) negative_format или (3) units для помощника (a) number_to_currency, (b) number_to_percentage или (c) number_to_human.
CVE-2013-1900PostgreSQL 9.2.x до 9.2.4, 9.1.x до 9.1.9, 9.0.x до 9.0.13 и 8.4.x до 8.4.17, при использовании OpenSSL, генерирует недостаточно случайные числа, что может позволить удаленным аутентифицированным пользователям оказывать неуказанное воздействие через векторы, связанные с "функциями contrib/pgcrypto".