Vulnerabilidad en json/encoding.rb en Active Support en Ruby on Rails (CVE-2015-3226)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/07/2015
Última modificación:
08/08/2019
Descripción
Vulnerabilidad XSS en json/encoding.rb en Active Support en Ruby on Rails en las versiones 3.x, 4.1.x anterior a 4.1.11 y 4.2 anterior a 4.2.2, permite a atacantes remotos inyectar código arbitrario HTML o web script a través de un Hash manipulado que no es manejado correctamente durante la codificación JSON.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubyonrails:rails:3.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rubyonrails:rails:3.2.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página