关键漏洞信息 漏洞名称 远程代码执行在通用搜索 漏洞标识 GHSA ID: GHSA-6j2h-486h-487q CVE ID: CVE-2024-4196 CVSS v3 基准指标: 9.6/10(严重度:关键) CVSS v3 向量: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H/E:X/RL:O/RC:C&version=3.1 影响 描述: 在基于 Ruby on Rails 的 Elektra Web 应用程序的实时搜索功能中发现了一个代码注入漏洞。经过身份验证的用户可以构造包含 Ruby 代码的搜索项,该代码随后流入 汇合点并执行代码。 影响: - 机密性: 高 - 完整性: 无 - 可用性: 高 影响版本与修复版本 受影响版本: 修复版本: 修补与变通方案 修补: 在提交 中修复。 变通方案: 无需变通方案,已修复。 参考 49aea3b 8bce00b https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:H/E:X/RL:O/RC:C&version=3.1 调查工具 此漏洞是在 CodeQL 的帮助下通过 "代码注入" 查询发现的。