Vulnerabilidad en la gema yajl-ruby en Ruby (CVE-2017-16516)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-134
Utilización de formatos de cadenas de control externo
Fecha de publicación:
03/11/2017
Última modificación:
20/04/2025
Descripción
En la gema yajl-ruby 1.3.0 para Ruby, cuando se envía un archivo JSON manipulado a Yajl::Parser.new.parse, todo el proceso de ruby sufre un cierre inesperado con un SIGABRT en la función yajl_string_decode en yajl_encode.c. Esto tiene como resultado que todo el proceso de ruby finalice y posiblemente se provoque una denegación de servicio.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:yajl-ruby_project:yajl-ruby:1.3.0:*:*:*:*:ruby:*:* | ||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/brianmario/yajl-ruby/issues/176
- https://lists.debian.org/debian-lts-announce/2017/11/msg00010.html
- https://lists.debian.org/debian-lts-announce/2023/07/msg00013.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00003.html
- https://rubygems.org/gems/yajl-ruby
- https://github.com/brianmario/yajl-ruby/issues/176
- https://lists.debian.org/debian-lts-announce/2017/11/msg00010.html
- https://lists.debian.org/debian-lts-announce/2023/07/msg00013.html
- https://lists.debian.org/debian-lts-announce/2023/08/msg00003.html
- https://rubygems.org/gems/yajl-ruby