BDU:2019-01506

BDU

ВысокийПодтвержденаЭксплойт есть

Уязвимость компонента Action View программной платформы Ruby on Rails связана с ошибками обработки HTTP-заголовков Accept при использовании…

CVSS

7.5

Высокий

EPSS

0.00

Опубликовано

2019-01-01

Обновлено

2019-01-01

Описание

Уязвимость компонента Action View программной платформы Ruby on Rails связана с ошибками обработки HTTP-заголовков Accept при использовании в коде обработчика «render file». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать произвольные файлы

Теги · CWE

Без аутентификации

Затронутые продукты

Rails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on railsRails core team Ruby on rails

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Хронология

2019-01-01

Опубликована

2019-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.000 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

BDU:2019-01506

bdu_exploit · https://bdu.fstec.ru/vul

Enterprise

46585

exploitdb · https://www.exploit-db.com/exploits/46585

Enterprise

CVE-2019-5418

github-poc · https://github.com/daehyeok0618/CVE-2019-5418

Enterprise

Затронутые продукты

Rails Core Team

Ruby On Rails

Продукт	Вендор	Статус
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается
ruby on rails	rails core team	Отслеживается

Источники данных

BDU

Связанные уязвимости

CVE-2019-5418

Внешние ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-5418@https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/@https://access.redhat.com/security/cve/cve-2019-5418@https://www.opennet.ru/opennews/art.shtml?num=50321@https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv