ГлавнаяБаза уязвимостей БДУ → BDU:2022-03018
10критическая

BDU:2022-03018 (CVE-2022-29176)

Уязвимость службы хостинга RubyGems.org, связанная с ошибками авторизации, позволяющая нарушителю получить доступ на создание, изменение или удаление данных
Опубликовано: 2022-05-18
Описание

Уязвимость службы хостинга RubyGems.org связана с ошибками авторизации при копировании данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на создание, изменение или удаление данных

Затрагиваемое ПО и версии
RubyGems.org
Способ устранения

Использование рекомендаций:
https://github.com/rubygems/rubygems.org/security/advisories/GHSA-hccv-rwq6-vh79

Организационные меры:
Рекомендуется при использование менеджера для управления зависимостями gem'ов в ruby приложениях Bundler использовать режимы --frozen или --deployment.
Для проверки установленных библиотек на наличие в них модификаций рекомендуется открыть файл Gemfile. lock и просмотреть установленные версии библиотек

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/rubygems/rubygems.org/security/advisories/GHSA-hccv-rwq6-vh79https://hackerone.com/bugs?subject=rubygems&report_id=1559856https://nvd.nist.gov/vuln/detail/CVE-2022-29176
Проверьте безопасность своего сайта и почты → Полная проверка домена