PT-2021-9093 · Rubygems · Activerecord-Session Store

Nezholio

·

Publicado

2021-03-05

·

Atualizado

2021-07-28

·

CVE-2019-25025

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do activerecord-session store até a 1.1.3
Descrição
O componente activerecord-session store não utiliza uma abordagem de tempo constante ao fornecer informações sobre a validade de um ID de sessão adivinhado. Consequentemente, invasores remotos podem aproveitar discrepâncias de tempo para adivinhar corretamente o ID em um período relativamente curto.
Recomendações
Para versões até 1.1.3, atualize para a versão 2.0.0 ou posterior para resolver o problema.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-208

Identificadores relacionados

CVE-2019-25025
GHSA-CVW2-XJ8R-MJF7
RHSA-2021:4702
SUSE-SU-2021:1962-1
SUSE-SU-2021:1963-1
SUSE-SU-2021:2554-1

Produtos afetados

Activerecord-Session Store