CVE-2013-3221— Ruby on Rails Active Record组件数据类型注入漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2013-3221 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
The Active Record component in Ruby on Rails 2.3.x, 3.0.x, 3.1.x, and 3.2.x does not ensure that the declared data type of a database column is used during comparisons of input values to stored values in that column, which makes it easier for remote attackers to conduct data-type injection attacks against Ruby on Rails applications via a crafted value, as demonstrated by unintended interaction between the "typed XML" feature and a MySQL database.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Ruby on Rails Active Record组件数据类型注入漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Active Record是一种领域模型模式,实现了Rails的对象关系映射。 Ruby on Rails中的Active Record组件中存在漏洞,该漏洞在输入值与数据库某一列中存储值的对比时,程序并未确认该数据库列中的声明数据类型是否被使用。远程攻击者可通过特制的值利用该漏洞对Ruby on Rails应用程序实施数据类型注入攻击,如(非预期的‘类型化的XML’功能和MySQL数据库之间的交互。)以下版本中存在漏洞:Ruby on Rails 2.3.x,3.0.x,3.1.x以及3.2.x版本。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| - | n/a | n/a | - |
二、漏洞 CVE-2013-3221 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2013-3221 的情报信息
Please 登录 to view more intelligence information
- http://www.phenoelit.org/blog/archives/2013/02/index.htmlx_refsource_MISC
- https://gist.github.com/dakull/5442275x_refsource_CONFIRM
- https://groups.google.com/group/rubyonrails-security/msg/1f3bc0b88a60c1ce?dmode=source&output=gplainmailing-listx_refsource_MLIST
- https://nvd.nist.gov/vuln/detail/CVE-2013-3221
同批安全公告 · n/a · 2013-04-22 · 共 22 条
| CVE-2013-3231 | Linux kernel ‘llc_ui_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-2780 | Siemens SIMATIC 拒绝服务漏洞 | |
| CVE-2013-0700 | Siemens SIMATIC 拒绝服务漏洞 | |
| CVE-2013-0138 | BitZipper 内存破坏漏洞 | |
| CVE-2013-0122 | avast! Mobile Security for Android 拒绝服务漏洞 | |
| CVE-2013-3237 | Linux kernel ‘vsock_stream_sendmsg’函数设计错误漏洞 | |
| CVE-2013-3236 | Linux kernel ‘vmci_transport_dgram_dequeue’函数敏感信息漏洞 | |
| CVE-2013-3235 | Linux kernel ‘net/tipc/socket.c’敏感信息漏洞 | |
| CVE-2013-3234 | Linux kernel ‘rose_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3233 | Linux kernel ‘llcp_sock_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3232 | Linux kernel ‘nr_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3076 | Linux kernel crypto API 敏感信息漏洞 | |
| CVE-2013-3230 | Linux kernel ‘l2tp_ip6_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3229 | Linux kernel ‘iucv_sock_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3228 | Linux kernel ‘irda_recvmsg_dgram’函数敏感信息漏洞 | |
| CVE-2013-3227 | Linux kernel ‘caif_seqpkt_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3226 | Linux kernel ‘sco_sock_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3225 | Linux kernel ‘rfcomm_sock_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3224 | Linux kernel ‘bt_sock_recvmsg’函数敏感信息漏洞 | |
| CVE-2013-3223 | Linux kernel ‘ax25_recvmsg’函数敏感信息漏洞 |
显示前 20 条,共 22 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2013-3221
暂无评论