Ruby dragonfly Gem 远程任意代码执行漏洞

漏洞信息详情

Ruby dragonfly Gem 远程任意代码执行漏洞

• CNNVD编号：CNNVD-201302-634
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-1756
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2013-02-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-10
  
• 厂        商：
  
  mark_evans
• 漏洞来源：
  Charlie Somerville

Dragonfly gem for Ruby是英国软件开发者Mark Evans所研发的一款用于动态处理Rails、Sinatra等框架的图像上传的Ruby Gem。

Dragonfly gem for Ruby 0.7.0和0.9.12版本中存在安全漏洞。当程序与Ruby on Rails一起使用时，远程攻击者可通过发送特制的请求利用该漏洞执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://rubygems.org/gems/dragonfly

来源:XF

名称:dragonfly-ruby-code-exec(82476)

链接:http://xforce.iss.net/xforce/xfdb/82476

来源:BID

名称:58225

链接:http://www.securityfocus.com/bid/58225

来源:SECUNIA

名称:52380

链接:http://secunia.com/advisories/52380

来源:groups.google.com

链接:https://groups.google.com/forum/?fromgroups=#!topic/dragonfly-users/3c3WIU3VQTo

来源:github.com

链接:https://github.com/markevans/dragonfly/commit/a8775aacf9e5c81cf11bec34b7afa7f27ddfe277

来源:SECUNIA

名称:52380

链接:http://secunia.com/advisories/52380