Vulnerabilidad en activerecord/lib/active_record/relation/query_methods.rb en Ruby on Rails (CVE-2014-3514)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
20/08/2014
Última modificación:
08/08/2019
Descripción
activerecord/lib/active_record/relation/query_methods.rb en Active Record en Ruby on Rails 4.0.x anterior a 4.0.9 y 4.1.x anterior a 4.1.5 permite a atacantes remotos evadir el mecanismo de protección de parámetros fuertes a través de entradas manipuladas en una aplicación que realiza llamadas create_with.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubyonrails:rails:4.0.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.0:beta:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.1:-:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.1:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.1:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.1:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.1:rc4:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:4.0.6:rc1:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página