PT-2022-28288 · Pageflow+2 · Pageflow+2
Publicado
2022-09-15
·
Atualizado
2022-09-15
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do pageflow anteriores à 14.5.2
Versões do pageflow anteriores à 15.7.1
Descrição
A vulnerabilidade permite que invasores extraiam propriedades confidenciais de objetos do banco de dados associados a usuários ou entradas pertencentes a uma conta à qual tenham acesso. Isso é possível devido à configuração padrão da biblioteca
Ransack, que é usada pelo ActiveAdmin para a funcionalidade de pesquisa no pageflow. Os comparadores de pesquisa * starts with, * ends with ou * contains podem ser explorados para extrair valores de string confidenciais por meio de força bruta caractere por caractere.Recomendações
Para versões anteriores à 14.5.2, atualize para a versão 14.5.2 da gem
pageflow.Para versões anteriores à 15.7.1, atualize para a versão 15.7.1 da gem
pageflow. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Activeadmin
Ransack
Pageflow