Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en RubyGems (CVE-2015-3900)

Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-254 Características de seguridad
Fecha de publicación:
24/06/2015
Última modificación:
12/04/2025

Descripción

RubyGems 2.0.x en versiones anteriores a 2.0.16, 2.2.x en versiones anteriores a 2.2.4 y 2.4.x en versiones anteriores a 2.4.7 no valida el nombre de host al recuperar gemas o hacer solicitudes de API, lo que permite a atacantes remotos redireccionar peticiones a dominios arbitrarios a través del registro DNS SRV manipulado, también conocido como un "ataque de secuestro de DNS".

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ruby-lang:ruby:1.9:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.1:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.2:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.9.3:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1:-:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1.1:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1.2:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1.3:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1.4:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.1.5:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:2.2.0:*:*:*:*:*:*:*
cpe:2.3:a:rubygems:rubygems:2.0.0:*:*:*:*:*:*:*
cpe:2.3:a:rubygems:rubygems:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:rubygems:rubygems:2.0.2:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información