Vulnerabilidad en Ruby OpenID (conocido como ruby-openid) tiene un defecto aprovechable remotamente (CVE-2019-11027)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/06/2019

Última modificación:

14/06/2019

Descripción

Ruby OpenID (conocido como ruby-openid) a través de la versión 2.8.0 tiene un defecto aprovechable remotamente. Esta librería es usada para aplicaciones de Rails Web, para integrar con suministradores de OpenID. La gravedad puede ir desde media a crítica, dependiendo de como los desarrolladores de aplicaciones Web eligieron para emplear la ruby-openid library. Los desarrolladores que basaron su integración OpenID fuertemente en el ejemplo "example app" proporcionado por el proyecto están en alto riesgo.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Vector 2.0

AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 10.00 ALTA
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo