Vulnerabilidad en Devise para Ruby (CVE-2013-0233)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-399
Error en la gestión de recursos
Fecha de publicación:
25/04/2013
Última modificación:
11/04/2025
Descripción
Devise v2.2.x antes de v2.2.3, v2.1.x antes de v2.1.3, v2.0.x antes de v2.0.5, v1.5.x antes de v1.5.4 de Ruby, al utilizar ciertas bases de datos, no funciona correctamente cuando se realiza la conversión de tipos consultas de base de datos, lo que podría permitir a atacantes remotos provocar resultados incorrectos para ser devueltos y eludir los controles de seguridad a través de vectores desconocidos, como lo demuestra restablecer las contraseñas de las cuentas arbitrarias.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:plataformatec:devise:1.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:1.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:1.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:1.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:plataformatec:devise:2.2.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blog.plataformatec.com.br/2013/01/security-announcement-devise-v2-2-3-v2-1-3-v2-0-5-and-v1-5-3-released/
- http://lists.opensuse.org/opensuse-updates/2013-03/msg00000.html
- http://www.metasploit.com/modules/auxiliary/admin/http/rails_devise_pass_reset
- http://www.openwall.com/lists/oss-security/2013/01/29/3
- http://www.phenoelit.org/blog/archives/2013/02/05/mysql_madness_and_rails/index.html
- http://www.securityfocus.com/bid/57577
- https://github.com/Snorby/snorby/issues/261
- http://blog.plataformatec.com.br/2013/01/security-announcement-devise-v2-2-3-v2-1-3-v2-0-5-and-v1-5-3-released/
- http://lists.opensuse.org/opensuse-updates/2013-03/msg00000.html
- http://www.metasploit.com/modules/auxiliary/admin/http/rails_devise_pass_reset
- http://www.openwall.com/lists/oss-security/2013/01/29/3
- http://www.phenoelit.org/blog/archives/2013/02/05/mysql_madness_and_rails/index.html
- http://www.securityfocus.com/bid/57577
- https://github.com/Snorby/snorby/issues/261