Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-17405

Опубликовано: 15 дек. 2017
Источник: nvd
CVSS3: 8.8
CVSS2: 9.3
EPSS Высокий

Описание

Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, and puttextfile use Kernel#open to open a local file. If the localfile argument starts with the "|" pipe character, the command following the pipe character is executed. The default value of localfile is File.basename(remotefile), so malicious FTP servers could cause arbitrary command execution.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:*
Версия от 2.2 (включая) до 2.2.8 (включая)
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:*
Версия от 2.3 (включая) до 2.3.5 (включая)
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:*
Версия от 2.4 (включая) до 2.4.2 (включая)
cpe:2.3:a:ruby-lang:ruby:2.5.0:preview1:*:*:*:*:*:*
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*

EPSS

Процентиль: 99%
0.88646
Высокий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

ubuntu логотип

CVE-2017-17405

CVSS3: 8.8
ubuntu
почти 8 лет назад

Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, and puttextfile use Kernel#open to open a local file. If the localfile argument starts with the "|" pipe character, the command following the pipe character is executed. The default value of localfile is File.basename(remotefile), so malicious FTP servers could cause arbitrary command execution.

redhat логотип

CVE-2017-17405

CVSS3: 6.3
redhat
почти 8 лет назад

Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, and puttextfile use Kernel#open to open a local file. If the localfile argument starts with the "|" pipe character, the command following the pipe character is executed. The default value of localfile is File.basename(remotefile), so malicious FTP servers could cause arbitrary command execution.

debian логотип

CVE-2017-17405

CVSS3: 8.8
debian
почти 8 лет назад

Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, get ...

github логотип

GHSA-q23r-c9rf-97q3

CVSS3: 8.8
github
больше 3 лет назад

Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, and puttextfile use Kernel#open to open a local file. If the localfile argument starts with the "|" pipe character, the command following the pipe character is executed. The default value of localfile is File.basename(remotefile), so malicious FTP servers could cause arbitrary command execution.

fstec логотип

BDU:2019-00512

CVSS3: 8.8
fstec
почти 8 лет назад

Уязвимость реализации команд Net::FTP интерпретатора языка программирования Ruby, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 99%
0.88646
Высокий

8.8 High

CVSS3

9.3 Critical

CVSS2

Дефекты

CWE-78