CVE-2019-16255

Опубликовано: 26 нояб. 2019

Источник: redhat

CVSS3: 8.1

EPSS Низкий

Описание

Ruby through 2.4.7, 2.5.x through 2.5.6, and 2.6.x through 2.6.4 allows code injection if the first argument (aka the "command" argument) to Shell#[] or Shell#test in lib/shell.rb is untrusted data. An attacker can exploit this to call an arbitrary Ruby method.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat 3scale API Management Platform 2	3amp-system	Will not fix
Red Hat Enterprise Linux 5	ruby	Out of support scope
Red Hat Enterprise Linux 6	ruby	Out of support scope
Red Hat Enterprise Linux 7	ruby	Will not fix
Red Hat Software Collections	rh-ruby24-ruby	Will not fix
Red Hat Enterprise Linux 8	ruby	Fixed	RHSA-2021:2587	29.06.2021
Red Hat Enterprise Linux 8	ruby	Fixed	RHSA-2021:2588	29.06.2021
Red Hat Enterprise Linux 8.1 Update Services for SAP Solutions	ruby	Fixed	RHSA-2022:0581	21.02.2022
Red Hat Enterprise Linux 8.2 Extended Update Support	ruby	Fixed	RHSA-2022:0582	21.02.2022
Red Hat Software Collections for Red Hat Enterprise Linux 7	rh-ruby25-ruby	Fixed	RHSA-2021:2104	26.05.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-94

https://bugzilla.redhat.com/show_bug.cgi?id=1793683ruby: Code injection via command argument of Shell#test / Shell#[]

EPSS

Процентиль: 81%

0.01584

Низкий

8.1 High

CVSS3

Связанные уязвимости

CVE-2019-16255

CVSS3: 8.1

ubuntu

почти 6 лет назад

CVE-2019-16255

CVSS3: 8.1

nvd

почти 6 лет назад

CVE-2019-16255

CVSS3: 8.1

msrc

почти 5 лет назад

Описание отсутствует

CVE-2019-16255

CVSS3: 8.1

debian

почти 6 лет назад

Ruby through 2.4.7, 2.5.x through 2.5.6, and 2.6.x through 2.6.4 allow ...

GHSA-ph7w-p94x-9vvw

CVSS3: 8.1

github

больше 3 лет назад

EPSS

Процентиль: 81%

0.01584

Низкий

8.1 High

CVSS3