Rubygem-net-ldap
Уязвимости
17
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.04923
Распределение по критичности
Критический
0
Высокий
2
Средний
11
Низкий
4
Также сопоставлено как (исходные строки): rubygem-net-ldap
Топ уязвимостей
CVE-2021-46877jackson-databind версий 2.10.x - 2.12.x до 2.12.6 и 2.13.x до 2.13.1 позволяет злоумышленникам вызывать отказ в обслуживании (временное использование кучи объемом 2 ГБ на чтение) в необычных ситуациях, связанных с сериализацией JsonNode JDK.
CVE-2012-2140Mail gem до версии 2.4.3 для Ruby позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в (1) sendmail или (2) exim delivery.
CVE-2012-2139Уязвимость обхода каталога в lib/mail/network/delivery_methods/file_delivery.rb в Mail gem до версии 2.4.4 для Ruby позволяет удаленным злоумышленникам читать произвольные файлы через .. (две точки) в параметре to.
CVE-2012-1988Puppet версий 2.6.x до 2.6.15 и 2.7.x до 2.7.13 и Puppet Enterprise (PE) Users версий 1.0, 1.1, 1.2.x, 2.0.x и 2.5.x до 2.5.1 позволяют удаленным аутентифицированным пользователям с SSL-ключами агента и разрешениями на создание файлов на puppet master выполнять произвольные команды, создав файл, полное имя пути которого содержит метасимволы оболочки, а затем выполнив запрос filebucket.
CVE-2012-3465Межсайтовый скриптинг (XSS) в actionpack/lib/action_view/helpers/sanitize_helper.rb в помощнике strip_tags в Ruby on Rails до 3.0.17, 3.1.x до 3.1.8 и 3.2.x до 3.2.8 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неправильно сформированную HTML-разметку.
CVE-2012-3464Межсайтовый скриптинг (XSS) в activesupport/lib/active_support/core_ext/string/output_safety.rb в Ruby on Rails до 3.0.17, 3.1.x до 3.1.8 и 3.2.x до 3.2.8 может позволить удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через векторы, включающие символ ' (кавычка).
CVE-2012-3463Межсайтовый скриптинг (XSS) в actionpack/lib/action_view/helpers/form_tag_helper.rb в Ruby on Rails 3.x до 3.0.17, 3.1.x до 3.1.8 и 3.2.x до 3.2.8 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поле prompt в помощнике select_tag.
CVE-2012-3424Метод decode_credentials в actionpack/lib/action_controller/metal/http_authentication.rb в Ruby on Rails 3.x до версии 3.0.16, 3.1.x до версии 3.1.7 и 3.2.x до версии 3.2.7 преобразует строки Digest Authentication в символы, что позволяет удаленным злоумышленникам вызывать отказ в обслуживании, используя доступ к приложению, которое использует вспомогательный метод with_http_digest, как продемонстрировано методом authenticate_or_request_with_http_digest.
CVE-2012-2695Компонент Active Record в Ruby on Rails до 3.0.14, 3.1.x до 3.1.6 и 3.2.x до 3.2.6 неправильно реализует передачу данных запроса методу where в классе ActiveRecord, что позволяет удаленным злоумышленникам проводить определенные атаки SQL-инъекций через вложенные параметры запроса, которые используют неправильную обработку вложенных хэшей, что является проблемой, связанной с CVE-2012-2661.
CVE-2012-2661Компонент Active Record в Ruby on Rails 3.0.x до 3.0.13, 3.1.x до 3.1.5 и 3.2.x до 3.2.4 неправильно реализует передачу данных запроса методу where в классе ActiveRecord, что позволяет удаленным злоумышленникам проводить определенные SQL-инъекции через вложенные параметры запроса, которые используют непреднамеренную рекурсию, что является проблемой, связанной с CVE-2012-2695.
CVE-2012-3867lib/puppet/ssl/certificate_authority.rb в Puppet до 2.6.17 и 2.7.x до 2.7.18 и Puppet Enterprise до 2.5.2 неправильно ограничивает символы в поле Common Name запроса на подпись сертификата (CSR), что облегчает удаленным злоумышленникам с помощью пользователя обмануть администраторов, чтобы они подписали сфабрикованный сертификат агента через управляющие последовательности ANSI.
CVE-2012-2694actionpack/lib/action_dispatch/http/request.rb в Ruby on Rails до 3.0.14, 3.1.x до 3.1.6 и 3.2.x до 3.2.6 неправильно учитывает различия в обработке параметров между компонентом Active Record и интерфейсом Rack, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения запросов к базе данных и выполнять NULL-проверки через специально созданный запрос, как продемонстрировано определенными значениями "['xyz', nil]", что является проблемой, связанной с CVE-2012-2660.
CVE-2012-2660actionpack/lib/action_dispatch/http/request.rb в Ruby on Rails до версий 3.0.13, 3.1.x до 3.1.5 и 3.2.x до 3.2.4 неправильно учитывает различия в обработке параметров между компонентом Active Record и интерфейсом Rack, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения запросов к базе данных и выполнять проверки NULL через специально созданный запрос, как демонстрируют определенные значения "[nil]", что является проблемой, связанной с CVE-2012-2694.
CVE-2012-1986Puppet версий 2.6.x до 2.6.15 и 2.7.x до 2.7.13 и Puppet Enterprise (PE) Users версий 1.0, 1.1, 1.2.x, 2.0.x и 2.5.x до 2.5.1 позволяют удаленным аутентифицированным пользователям с авторизованным SSL-ключом и определенными разрешениями на puppet master читать произвольные файлы через атаку с использованием символической ссылки в сочетании со специально созданным REST-запросом для файла в filebucket.
CVE-2012-1987Неуказанная уязвимость в Puppet версий 2.6.x до 2.6.15 и 2.7.x до 2.7.13 и Puppet Enterprise (PE) Users версий 1.0, 1.1, 1.2.x, 2.0.x и 2.5.x до 2.5.1 позволяет удаленным аутентифицированным пользователям с SSL-ключами агента (1) вызвать отказ в обслуживании (потребление памяти) через REST-запрос к потоку, который вызывает блокировку потока, как продемонстрировано с использованием CVE-2012-1986 и /dev/random; или (2) вызвать отказ в обслуживании (потребление файловой системы) через специально созданные REST-запросы, которые используют "маршалированную форму объекта Puppet::FileBucket::File" для записи в произвольные места расположения файлов.
CVE-2012-3865Уязвимость обхода каталога в lib/puppet/reports/store.rb в Puppet до 2.6.17 и 2.7.x до 2.7.18 и Puppet Enterprise до 2.5.2, когда Delete включен в auth.conf, позволяет удаленным аутентифицированным пользователям удалять произвольные файлы на главном сервере Puppet через .. (две точки) в имени узла.
CVE-2012-3864Puppet до 2.6.17 и 2.7.x до 2.7.18 и Puppet Enterprise до 2.5.2 позволяет удаленным аутентифицированным пользователям читать произвольные файлы на главном сервере Puppet, используя сертификат и закрытый ключ произвольного пользователя в GET-запросе.