Все бюллетени/sisyphus/ALT-PU-2023-1336-2
ALT-PU-2023-1336-2

Обновление пакета gem-rails в ветке sisyphus

Версия6.1.7.1-alt1
Задание#313736
Опубликовано2026-02-04
Макс. серьёзностьHIGH
Серьёзность:

Закрытые проблемы (15)

BDU:2023-07138
HIGH8.8

Уязвимость компонента Active Record программной платформы Ruby on Rails, связанная с возможностью внедрения SQL-кода через комментарии, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2023-10-26Изменено: 2025-02-04
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2025-01400
HIGH7.5

Уязвимость адаптера ActiveRecord PostgreSQL интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-02-12
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
BDU:2025-01401
HIGH7.5

Уязвимость компонента Action Dispatch программной платформы Ruby on Rails, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-02-12
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
BDU:2025-01402
HIGH7.5

Уязвимость компонента Action Dispatch программной платформы Ruby on Rails, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-02-12
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
BDU:2025-01403
HIGH7.5

Уязвимость компонента Active Support PostgreSQL интерпретатора Ruby, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-02-12
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
Ссылки
CVE-2022-44566
HIGH7.5

A denial of service vulnerability present in ActiveRecord's PostgreSQL adapter <7.0.4.1 and <6.1.7.1. When a value outside the range for a 64bit signed integer is provided to the PostgreSQL connection adapter, it will treat the target column type as numeric. Comparing integer values against numeric values can result in a slow sequential scan resulting in potential Denial of Service.

Опубликовано: 2023-02-09Изменено: 2025-03-25
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2023-22792
HIGH7.5

A regular expression based DoS vulnerability in Action Dispatch <6.0.6.1,< 6.1.7.1, and <7.0.4.1. Specially crafted cookies, in combination with a specially crafted X_FORWARDED_HOST header can cause the regular expression engine to enter a state of catastrophic backtracking. This can cause the process to use large amounts of CPU and memory, leading to a possible DoS vulnerability All users running an affected release should either upgrade or use one of the workarounds immediately.

Опубликовано: 2023-02-09Изменено: 2025-03-24
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2023-22794
HIGH8.8

A vulnerability in ActiveRecord <6.0.6.1, v6.1.7.1 and v7.0.4.1 related to the sanitization of comments. If malicious user input is passed to either the `annotate` query method, the `optimizer_hints` query method, or through the QueryLogs interface which automatically adds annotations, it may be sent to the database withinsufficient sanitization and be able to inject SQL outside of the comment.

Опубликовано: 2023-02-09Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
CVE-2023-22795
HIGH7.5

A regular expression based DoS vulnerability in Action Dispatch <6.1.7.1 and <7.0.4.1 related to the If-None-Match header. A specially crafted HTTP If-None-Match header can cause the regular expression engine to enter a state of catastrophic backtracking, when on a version of Ruby below 3.2.0. This can cause the process to use large amounts of CPU and memory, leading to a possible DoS vulnerability All users running an affected release should either upgrade or use one of the workarounds immediately.

Опубликовано: 2023-02-09Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
CVE-2023-22796
HIGH7.5

A regular expression based DoS vulnerability in Active Support <6.1.7.1 and <7.0.4.1. A specially crafted string passed to the underscore method can cause the regular expression engine to enter a state of catastrophic backtracking. This can cause the process to use large amounts of CPU and memory, leading to a possible DoS vulnerability.

Опубликовано: 2023-02-09Изменено: 2024-11-21
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
GHSA-579w-22j4-4749
HIGH7.5

Denial of Service Vulnerability in ActiveRecord's PostgreSQL adapter

Опубликовано: 2023-01-18Изменено: 2026-01-16
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Ссылки
GHSA-8xww-x3g3-6jcv
NONE

ReDoS based DoS vulnerability in Action Dispatch

Опубликовано: 2023-01-18Изменено: 2025-03-31
Ссылки
GHSA-hq7p-j377-6v63
HIGH8.8

SQL Injection Vulnerability via ActiveRecord comments

Опубликовано: 2023-01-18Изменено: 2024-02-02
CVSS 3.xВЫСОКАЯ 8.8
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки
GHSA-j6gc-792m-qgm2
NONE

ReDoS based DoS vulnerability in Active Support's underscore

Опубликовано: 2023-01-18Изменено: 2025-02-19
Ссылки
GHSA-p84v-45xj-wwqj
NONE

ReDoS based DoS vulnerability in Action Dispatch

Опубликовано: 2023-01-18Изменено: 2025-02-19
Ссылки