Ruby multi_xml 远程任意命令执行漏洞 CVE-2013-0175 CNNVD-201301-215

7.5 AV AC AU C I A
发布: 2013-04-25
修订: 2023-02-13

Grape 0.2.6版本也可能包括其他产品中使用的multi_xml gem 0.5.2 for Ruby中存在漏洞,该漏洞源于程序未正确限制字符串值的类型转换。远程攻击者可通过YAML类型转换或Symbol类型转换利用该漏洞实施对象注入攻击和执行任意代码,或造成与XML内嵌实体引用相关的拒绝服务(内存和CPU耗尽)。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有14条受影响产品信息