Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2021-22904

Опубликовано: 05 мая 2021
Источник: redhat
CVSS3: 7.5
EPSS Низкий

Описание

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses authenticate_or_request_with_http_token or authenticate_with_http_token for request authentication.

A flaw was found in RubyGem Actionpack which is framework for handling and responding to web requests in Rails. A possible DoS vulnerability was found in the Token Authentication logic in Action Controller.

Отчет

Red Hat CloudForms 5.0 (CFME 5.11) is in the maintenance phase and we will not be fixing Medium/Low impact security bugs. Reference: https://access.redhat.com/support/policy/updates/cloudforms

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
CloudForms Management Engine 5cfme-gemsetWill not fix
Red Hat 3scale API Management Platform 2systemAffected
Red Hat Satellite 6tfm-ror52-rubygem-actionpackWill not fix
Red Hat Satellite 6.10 for RHEL 7tfm-rubygem-railsFixedRHSA-2021:470216.11.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-400
https://bugzilla.redhat.com/show_bug.cgi?id=1961379rails: Possible DoS Vulnerability in Action Controller Token Authentication

EPSS

Процентиль: 92%
0.08198
Низкий

7.5 High

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2021-22904

CVSS3: 7.5
ubuntu
больше 4 лет назад

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

nvd логотип

CVE-2021-22904

CVSS3: 7.5
nvd
больше 4 лет назад

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

debian логотип

CVE-2021-22904

CVSS3: 7.5
debian
больше 4 лет назад

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffer ...

github логотип

GHSA-7wjx-3g7j-8584

CVSS3: 7.5
github
почти 5 лет назад

Possible DoS Vulnerability in Action Controller Token Authentication

fstec логотип

BDU:2021-05203

CVSS3: 7.5
fstec
почти 5 лет назад

Уязвимость логики Token Authentication компонента Action Controller плагина actionpack программной платформы Ruby on Rails, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 92%
0.08198
Низкий

7.5 High

CVSS3