Devise gem for Ruby 安全绕过漏洞（CVE-2013-0233）

admin

0
文章

0
评论

2023-12-07 19:27:19 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Devise gem for Ruby 安全绕过漏洞（CVE-2013-0233）

CVE编号

CVE-2013-0233

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2013-04-26

漏洞描述

Devise gem for Ruby中存在漏洞，该漏洞源于当使用某些数据库时，在进行数据库查询期间程序未正确执行类型转换。远程攻击者可通过未知向量利用该漏洞造成返回错误结果，通过重置任意账户的密码来绕过安全检查。受影响版本：Devise gem 2.2.3之前的2.2.x版本，2.1.3之前的2.1.x版本，2.0.5之前的2.0.x版本，1.5.4之前的1.5.x版本。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：http://blog.plataformatec.com.br/2013/01/security-announcement-devise-v2-2-3-v2-1-3-v2-0-5-and-v1-5-3-released/

参考链接
http://blog.plataformatec.com.br/2013/01/security-announcement-devise-v2-2-3-...
http://lists.opensuse.org/opensuse-updates/2013-03/msg00000.html
http://www.metasploit.com/modules/auxiliary/admin/http/rails_devise_pass_reset
http://www.openwall.com/lists/oss-security/2013/01/29/3
http://www.phenoelit.org/blog/archives/2013/02/05/mysql_madness_and_rails/index.html
http://www.securityfocus.com/bid/57577
https://github.com/Snorby/snorby/issues/261

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	plataformatec	devise	1.5.0	-
	运行在以下环境
	应用	plataformatec	devise	1.5.1	-
	运行在以下环境
	应用	plataformatec	devise	1.5.2	-
	运行在以下环境
	应用	plataformatec	devise	1.5.3	-
	运行在以下环境
	应用	plataformatec	devise	2.0.0	-
	运行在以下环境
	应用	plataformatec	devise	2.0.1	-
	运行在以下环境
	应用	plataformatec	devise	2.0.2	-
	运行在以下环境
	应用	plataformatec	devise	2.0.3	-
	运行在以下环境
	应用	plataformatec	devise	2.0.4	-
	运行在以下环境
	应用	plataformatec	devise	2.1.0	-
	运行在以下环境
	应用	plataformatec	devise	2.1.1	-
	运行在以下环境
	应用	plataformatec	devise	2.1.2	-
	运行在以下环境
	应用	plataformatec	devise	2.2.0	-
	运行在以下环境
	应用	plataformatec	devise	2.2.1	-
	运行在以下环境
	应用	plataformatec	devise	2.2.2	-
	运行在以下环境
	应用	ruby-lang	ruby	*	-
	运行在以下环境
	系统	debian_10	ruby-devise	*		Up to (excluding) 3.4.1-1
	运行在以下环境
	系统	debian_11	ruby-devise	*		Up to (excluding) 3.4.1-1
	运行在以下环境
	系统	debian_12	ruby-devise	*		Up to (excluding) 3.4.1-1
	运行在以下环境
	系统	debian_sid	ruby-devise	*		Up to (excluding) 3.4.1-1