Informazioni sul CVE-2017-0903
N/A
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2017-0903
Descrizione: RubyGems versions between 2.0.0 and 2.6.13 are vulnerable to a possible remote code execution vulnerability. YAML deserialization of gem specifications can bypass class white lists. Specially crafted serialized objects can possibly be used to escalate to remote code execution.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Punteggio Base (calcolato da AziendaSicura): 0.0 (None)
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://usn.ubuntu.com/3685-1/
- https://usn.ubuntu.com/3553-1/
- https://access.redhat.com/errata/RHSA-2018:0585
- https://access.redhat.com/errata/RHSA-2018:0378
- https://hackerone.com/reports/274990
- https://www.debian.org/security/2017/dsa-4031
- https://github.com/rubygems/rubygems/commit/510b1638ac9bba3ceb7a5d73135dafff9e5bab49
- https://access.redhat.com/errata/RHSA-2017:3485
- http://blog.rubygems.org/2017/10/09/2.6.14-released.html
- https://lists.debian.org/debian-lts-announce/2018/07/msg00012.html
- https://access.redhat.com/errata/RHSA-2018:0583
- http://www.securityfocus.com/bid/101275
- http://blog.rubygems.org/2017/10/09/unsafe-object-deserialization-vulnerability.html
Prodotti interessati
- HackerOne – RubyGems
Relazioni con altri prodotti
Produttore:HackerOne
Prodotto: RubyGems
Anno: 2017
CWE: CWE-502
CVSS: 0.0