PT-2017-13492 · Ruby · Geminabox

Barak Tawily

Publicado

2017-09-25

Atualizado

2022-05-13

CVE-2017-14506

CVSS v3.1

5.4

Média

Vetor

AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Name of the Vulnerable Software and Affected Versions geminabox versions prior to 0.13.6

Description The issue allows for Cross-site Scripting (XSS) attacks. This can be demonstrated by uploading a gem file with a crafted gem.homepage value in its .gemspec file.

Recommendations For versions prior to 0.13.6, update to version 0.13.6 or later to resolve the issue. As a temporary workaround, consider restricting the upload of gem files or validating the gem.homepage value in the .gemspec file to prevent malicious input.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2017-14506

GHSA-98HQ-3QVG-PG78

Produtos afetados

Geminabox

PT-2017-13492 · Ruby · Geminabox

CVE-2017-14506

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 7