GHSA-jvgm-pfqv-887x

Опубликовано: 14 мая 2022

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Bundler allows attacker to inject arbitrary code via secondary Gem source

Bundler 1.x might allow remote attackers to inject arbitrary Ruby code into an application by leveraging a gem name collision on a secondary source. NOTE: this might overlap CVE-2013-0334.

Ссылки

Пакеты

Наименование

bundler

rubygems

Затронутые версииВерсия исправления

>= 1.0.0, < 2.0.0

2.0.0

EPSS

Процентиль: 86%

0.02779

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2016-7954

Дефекты

CWE-94

Связанные уязвимости

CVE-2016-7954

CVSS3: 9.8

ubuntu

около 9 лет назад

Bundler 1.x might allow remote attackers to inject arbitrary Ruby code into an application by leveraging a gem name collision on a secondary source. NOTE: this might overlap CVE-2013-0334.

CVE-2016-7954

CVSS3: 4.9

redhat

больше 9 лет назад

Bundler 1.x might allow remote attackers to inject arbitrary Ruby code into an application by leveraging a gem name collision on a secondary source. NOTE: this might overlap CVE-2013-0334.

CVE-2016-7954

CVSS3: 9.8

nvd

около 9 лет назад

Bundler 1.x might allow remote attackers to inject arbitrary Ruby code into an application by leveraging a gem name collision on a secondary source. NOTE: this might overlap CVE-2013-0334.

CVE-2016-7954

CVSS3: 9.8

debian

около 9 лет назад

Bundler 1.x might allow remote attackers to inject arbitrary Ruby code ...

BDU:2021-01399

CVSS3: 9.8

fstec

больше 9 лет назад

Уязвимость компонента Gem Name Handler менеджера для управления зависимостями gem в ruby приложениях Bundler, связанная с недостатком механизма управления генерацией кода, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 86%

0.02779

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2016-7954

Дефекты

CWE-94