viernes, 4 de marzo de 2016

Vulnerabilidades en Ruby on Rails

Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.

Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).

El primero de los problemas, con CVE-2016-2097, una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método "render".

Más información:


[CVE-2016-2097] Possible Information Leak Vulnerability in Action View.

[CVE-2016-2098] Possible remote code execution vulnerability in Action Pack


Antonio Ropero

No hay comentarios:

Publicar un comentario en la entrada