🕵️ Ruby on Rails bis 4.2.7.0 Action Record Query erweiterte Rechte
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Ruby on Rails bis 4.2.7.0 ausgemacht. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente Action Record. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Query) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 07.09.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-6317 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 4.2.7.1 vermag dieses Problem zu lösen.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 91364.
CVSSv3
Base Score: 7.3 [?]Temp Score: 7.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Ruby on Rails 4.2.7.1
Timeline
07.09.2016 Advisory veröffentlicht08.09.2016 VulDB Eintrag erstellt
08.09.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-6317 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91364
Eintrag
Erstellt: 08.09.2016Eintrag: 71.2% komplett
...
⚠️ Ruby on Rails 3.0/4.0 Active Model erweiterte Rechte
📈 33.74 Punkte
⚠️ PoC
⚠️ Ruby on Rails 3.0/4.0 Active Model erweiterte Rechte
📈 33.74 Punkte
⚠️ PoC
🔧 CodeSOD: Query Query Query
📈 32.22 Punkte
🔧 Programmierung