For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00360
Identificador(es)
ASA-2019-00360, CVE-2019-8323
Título
Vulnerabilidade de injeção de sequência de escape no tratamento da resposta da API
Fabricante(s)
RubyGems.org
Produto(s)
RubyGems
Versão(ões) afetada(s)
RubyGems 2.7.6 e posterior até 3.0.2
Versão(ões) corrigida(s)
RubyGems 3.0.3
RubyGems 2.7.8
Prova de conceito
Desconhecido
Descrição
Um problema foi descoberto no RubyGems 2.6 e posterior até 3.0.2. Gem::GemcutterUtilities#with_response pode gerar a resposta da API para stdout como está. Portanto, se o lado da API modificar a resposta, poderá ocorrer injeção de sequência de escape.
Detalhes técnicos
Desconhecido
Créditos
ooooooo_q
Referência(s)
March 2019 Security Advisories
https://blog.rubygems.org/2019/03/05/security-advisories-2019-03.html
Clean ascii escape sequence polluted response bodies processed by Gem::GemcutterUtilities#with_response
https://github.com/rubygems/rubygems/commit/671429574406ca03f8fb9574a1bca6f6f3c6c93c
ruby-2.4.5-rubygems-v2.patch
https://bugs.ruby-lang.org/attachments/7669
CVE-2019-8323
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8323
CVE-2019-8323
https://nvd.nist.gov/vuln/detail/CVE-2019-8323
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 20 junho 2019