GHSA-v6fx-752r-ccp2

Опубликовано: 05 авг. 2020

Источник: github

Github: Прошло ревью

CVSS3: 8.1

Описание

PgHero gem allows CSRF

The PgHero gem through 2.6.0 for Ruby allows CSRF. PgHero normally uses the protect_from_forgery method from Rails to prevent CSRF. However, this defaults to :null_session, which has no effect on non-session based authentication methods. Thus the ruby gem is vulnerable with non-session based authentication methods like basic authentication.

Ссылки

Пакеты

Наименование

pghero

rubygems

Затронутые версииВерсия исправления

< 2.7.0

2.7.0

EPSS

Процентиль: 28%

0.00101

Низкий

8.1 High

CVSS3

CVE ID

CVE-2020-16253

Дефекты

CWE-352

Связанные уязвимости

CVE-2020-16253

CVSS3: 8.1

nvd

больше 5 лет назад

The PgHero gem through 2.6.0 for Ruby allows CSRF.

CVE-2020-16253

CVSS3: 8.1

debian

больше 5 лет назад

The PgHero gem through 2.6.0 for Ruby allows CSRF.

EPSS

Процентиль: 28%

0.00101

Низкий

8.1 High

CVSS3

CVE ID

CVE-2020-16253

Дефекты

CWE-352