Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Rubygems.org (CVE-2024-35221)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
29/05/2024
Última modificación:
30/05/2024

Descripción

Rubygems.org es el servicio de alojamiento de gemas de la comunidad Ruby. Un editor de gemas puede provocar un DoS remoto al publicar una gema. Esto se debe a cómo Ruby lee los archivos Manifiesto de Gem cuando usa Gem::Specification.from_yaml. from_yaml utiliza SafeYAML.load, que permite alias YAML dentro de los metadatos basados en YAML de una gema. Los alias YAML permiten ataques de denegación de servicio con las llamadas "bombas YAML" (comparables a los ataques de mil millones de risas). Esto fue parcheado. No se requiere ninguna acción por parte de los usuarios. Este problema también se rastrea como GHSL-2024-001 y fue descubierto por el laboratorio de seguridad de GitHub.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información