ГлавнаяБаза уязвимостей БДУ → BDU:2021-04602
5.8средняя

BDU:2021-04602 (CVE-2021-22903)

Уязвимость промежуточного ПО Host Authorization фреймворка actionpack ruby gem программной платформы Ruby on Rails, связанная с недостаточной проверкой входных данных, позволяющая нарушителю получить доступ к конфиденциальным данным и нарушить их целостность
Опубликовано: 2021-09-20
Описание

Уязвимость промежуточного ПО Host Authorization фреймворка actionpack ruby gem программной платформы Ruby on Rails связана с преобразованием строк в config.hosts без начальной точки в регулярные выражения без экранирования. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным и нарушить их целостность с помощью специально созданных заголовков Host

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)Ruby on Rails (от 6.1.0-rc2 до 6.1.3.2)
Способ устранения

Для Ruby on Rails:
использование рекомендаций производителя: https://github.com/advisories/GHSA-5hq2-xf89-9jxq

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22903

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://discuss.rubyonrails.org/t/cve-2021-22903-possible-open-redirect-vulnerability-in-action-pack/77867https://github.com/advisories/GHSA-5hq2-xf89-9jxqhttps://github.com/rails/rails/commit/55e0723846aa77ce6afcb677618578fb859b7fd7https://nvd.nist.gov/vuln/detail/CVE-2021-22903https://security-tracker.debian.org/tracker/CVE-2021-22903
Проверьте безопасность своего сайта и почты → Полная проверка домена