PT-2020-2440 · Ruby+8 · Json Gem+9
Jeremy Evans
·
Publicado
2020-03-19
·
Atualizado
2026-03-13
·
CVE-2020-10663
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Gem JSON versões 2.2.0 e anteriores
Ruby versões 2.4 a 2.4.9
Ruby versões 2.5 a 2.5.7
Ruby versões 2.6 a 2.6.5
Descrição
A gem JSON para Ruby apresenta uma falha de criação de objeto inseguro devido à validação insuficiente de entradas. Isso pode levar à criação de um objeto malicioso dentro do interpretador ao usar métodos de análise de JSON, resultando em efeitos adversos dependentes da aplicação. A falha é semelhante a uma vulnerabilidade conhecida anteriormente, mas não depende de um comportamento inadequado da coleta de lixo no Ruby.
Recomendações
Para a gem JSON versão 2.2.0 e anteriores, atualize para uma versão com verificações aprimoradas.
Para as versões 2.4 a 2.4.9 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada.
Para as versões 2.5 a 2.5.7 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada.
Para as versões 2.6 a 2.6.5 do Ruby, considere atualizar para uma versão com a gem JSON aprimorada.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Json Gem
Linuxmint
Apple Macos
Red Hat
Rocky Linux
Ruby
Suse
Ubuntu