Vulnerabilidad en JSOM en Ruby (CVE-2013-0269)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
13/02/2013
Última modificación:
11/04/2025
Descripción
El JSON gem v1.7.x anteriores a 1.7.7, v1.6.x anteriores a v1.6.8, y v1.5.x anteriores a v1.5.5 permite a atacantes remotos provocar una denegación de servicio (consumo de recursos) o evitar el mecanismo de protección de asignación masiva a través de un documento JSON manipulado que lanza la creación de símbolos arbitrarios en Ruby o ciertos objetos internos, como se demostró como se ha demostrado mediante la realización de un ataque de inyección SQL en Ruby on Rails, también conocido como "Vulnerabilidad de creación de objetos no seguro".
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubygems:json_gem:1.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.5.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.5.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.5.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.6.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubygems:json_gem:1.7.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.apple.com/archives/security-announce/2013/Oct/msg00006.html
- http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00001.html
- http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00015.html
- http://lists.opensuse.org/opensuse-updates/2013-04/msg00034.html
- http://rhn.redhat.com/errata/RHSA-2013-0686.html
- http://rhn.redhat.com/errata/RHSA-2013-0701.html
- http://rhn.redhat.com/errata/RHSA-2013-1028.html
- http://rhn.redhat.com/errata/RHSA-2013-1147.html
- http://secunia.com/advisories/52075
- http://secunia.com/advisories/52774
- http://secunia.com/advisories/52902
- http://spreecommerce.com/blog/multiple-security-vulnerabilities-fixed
- http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
- http://www.openwall.com/lists/oss-security/2013/02/11/7
- http://www.openwall.com/lists/oss-security/2013/02/11/8
- http://www.osvdb.org/90074
- http://www.securityfocus.com/bid/57899
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2013&m=slackware-security.426862
- http://www.ubuntu.com/usn/USN-1733-1
- http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection
- https://exchange.xforce.ibmcloud.com/vulnerabilities/82010
- https://groups.google.com/group/rubyonrails-security/msg/d8e0db6e08c81428?dmode=source&output=gplain
- https://puppet.com/security/cve/cve-2013-0269
- http://lists.apple.com/archives/security-announce/2013/Oct/msg00006.html
- http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00001.html
- http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00015.html
- http://lists.opensuse.org/opensuse-updates/2013-04/msg00034.html
- http://rhn.redhat.com/errata/RHSA-2013-0686.html
- http://rhn.redhat.com/errata/RHSA-2013-0701.html
- http://rhn.redhat.com/errata/RHSA-2013-1028.html
- http://rhn.redhat.com/errata/RHSA-2013-1147.html
- http://secunia.com/advisories/52075
- http://secunia.com/advisories/52774
- http://secunia.com/advisories/52902
- http://spreecommerce.com/blog/multiple-security-vulnerabilities-fixed
- http://weblog.rubyonrails.org/2013/2/11/SEC-ANN-Rails-3-2-12-3-1-11-and-2-3-17-have-been-released/
- http://www.openwall.com/lists/oss-security/2013/02/11/7
- http://www.openwall.com/lists/oss-security/2013/02/11/8
- http://www.osvdb.org/90074
- http://www.securityfocus.com/bid/57899
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2013&m=slackware-security.426862
- http://www.ubuntu.com/usn/USN-1733-1
- http://www.zweitag.de/en/blog/ruby-on-rails-vulnerable-to-mass-assignment-and-sql-injection
- https://exchange.xforce.ibmcloud.com/vulnerabilities/82010
- https://groups.google.com/group/rubyonrails-security/msg/d8e0db6e08c81428?dmode=source&output=gplain
- https://puppet.com/security/cve/cve-2013-0269