PT-2024-25025 · Kaminari · Kaminari
G-Rath
·
Publicado
2024-05-27
·
Atualizado
2024-05-28
·
CVE-2024-32978
CVSS v3.1
6.6
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Kaminari anteriores à 0.16.2
Descrição
Foi identificada uma falha de segurança envolvendo permissões de arquivo inseguras na biblioteca de paginação Kaminari para Ruby on Rails. Esta falha é de gravidade moderada devido ao potencial de acesso de gravação não autorizado a determinados arquivos Ruby gerenciados pela biblioteca, o que poderia levar à alteração do comportamento da aplicação ou a problemas de integridade de dados.
Recomendações
Para versões anteriores à 0.16.2, atualize para a versão 0.16.2 ou posterior do Kaminari, na qual as permissões de arquivo foram ajustadas para aumentar a segurança.
Se a atualização não for viável imediatamente, ajuste manualmente as permissões de arquivo no servidor para restringir o acesso, definindo-as como 644.
Considere revisar e ajustar as permissões de arquivo para arquivos Ruby específicos no Kaminari para garantir que eles sejam acessíveis apenas por usuários autorizados.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kaminari