Fallos CVE de ActiveRecord. Errores CVE en ActiveRecord.
10 de febrero del 2023
- CVE-2023-22794 : Una vulnerabilidad en ActiveRecord <6.0.6.1, v6.1.7.1 y v7.0.4.1 relacionada con la desinfección de comentarios. Si la entrada de un usuario malicioso se pasa al método de consulta `anotar`, al método de consulta `optimizer_hints`, o a través de la interfaz QueryLogs que agrega anotaciones automáticamente, se puede enviar a la base de datos con un saneamiento suficiente y ser capaz de inyectar SQL fuera del comentario.
- CVE-2022-44566 : Una vulnerabilidad de denegación de servicio presente en el adaptador PostgreSQL de ActiveRecord <7.0.4.1 y <6.1.7.1. Cuando se proporciona un valor fuera del rango de un entero con signo de 64 bits al adaptador de conexión de PostgreSQL, tratará el tipo de columna de destino como numérico. La comparación de valores enteros con valores numéricos puede dar como resultado un análisis secuencial lento que puede provocar una denegación de servicio.
Sitios de referencia
- CVE-2023-22794
https://discuss.rubyonrails.org/t/cve-2023-22794-sql-injection-vulnerability-via-activerecord-comments/82117 - CVE-2022-44566
https://discuss.rubyonrails.org/t/cve-2022-44566-possible-denial-of-service-vulnerability-in-activerecords-postgresql-adapter/82119
Otras paginas de vulnerabilidades CVE
- Mojoportal
- System configuration tool SCT
- Go unixfs
- Go bitfield
- Go unixfsnode
- Wallix access manager
- Churchcrm
- Shaarlier
- APsystems ecu r
- Provide
- Kasago Ipv6v4 Dual
- Yugabyte managed
- vertx web
- wp-showhide
- Ean for Woocommerce
- Responsivevoice text to speech
- Materialis companion
- My youtube channel
- Wp blog and widgets
- Jfinaloa
- Helm
¿Quieres encontrar más vulnerabilidades?.
Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️
Fecha actualización el 2023-02-12. Fecha publicación el 2023-02-12. Autor: Oscar olg Mapa del sitio Fuente: cve report