Spree ‘app/models/spree/user.rb’角色分配漏洞

漏洞信息详情

Spree ‘app/models/spree/user.rb’角色分配漏洞

• CNNVD编号：CNNVD-201303-200
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2506
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2013-03-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-03-12
  
• 厂        商：
  
  spreecommerce
• 漏洞来源：

Spree（又名Spree Commerce）是美国Spree Commerce公司的一套基于Ruby on Rails的开源电子商务解决方案。

Spree 1.1.6之前的1.1.x版本，1.2.x版本，1.3.x版本中的spree_auth_devise中的app/models/spree/user.rb中存在漏洞，该漏洞源于更新用户时，程序没有正确执行安全的质量分配。远程认证攻击者利用该漏洞给自己分配任意角色。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://spreecommerce.com/blog/multiple-security-vulnerabilities-fixed

来源: github.com

链接:https://github.com/spree/spree_auth_devise/commit/038d74771d3b5c13d13b738b73dfda1033a99f65

来源: github.com

链接:https://github.com/spree/spree_auth_devise/commit/038d74771d3b5c13d13b738b73dfda1033a99f65

来源: spreecommerce.com

链接:http://spreecommerce.com/blog/multiple-security-vulnerabilities-fixed