BDU:2016-00814

Опубликовано: 16 фев. 2016

Источник: fstec

CVSS2: 5

EPSS Низкий

Описание

Уязвимость функции activerecord/lib/active_record/nested attributes.rb компонента Active Record программной платформы Ruby on Rails связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие политики ограничения доступа за счёт использования вложенных атрибутов пространственных объектов

Вендор

Rails Core Team

Наименование ПО

Ruby on Rails

Версия ПО

от 4.0 до 4.1.14.1 (Ruby on Rails)

от 5 до 5.0.0.beta1.1 (Ruby on Rails)

от 4.2.0 до 4.2.5.1 (Ruby on Rails)

от 3.1 до 3.2.22.1 (Ruby on Rails)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Linux .

Apple Inc. MacOS X

Microsoft Corp Windows -

Apple Inc. MacOS X

Oracle Corp. Solaris .

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Возможные меры по устранению уязвимости

Обновление программного средства до версии 5.0.0.beta1.1, 4.2.5.1, 4.1.14.1, 3.2.22.1 или новее

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7577
CVE

EPSS

Процентиль: 79%

0.01209

Низкий

5 Medium

CVSS2

Связанные уязвимости

CVE-2015-7577

CVSS3: 5.3

ubuntu

почти 10 лет назад

activerecord/lib/active_record/nested_attributes.rb in Active Record in Ruby on Rails 3.1.x and 3.2.x before 3.2.22.1, 4.0.x and 4.1.x before 4.1.14.1, 4.2.x before 4.2.5.1, and 5.x before 5.0.0.beta1.1 does not properly implement a certain destroy option, which allows remote attackers to bypass intended change restrictions by leveraging use of the nested attributes feature.