漏洞信息详情

Ruby 后置链接漏洞

• CNNVD编号：CNNVD-201305-419
• 危害等级： 低危
  
• CVE编号： CVE-2013-2105
• 漏洞类型： 后置链接
• 发布时间： 2013-05-22
• 威胁类型： 本地
• 更新时间： 2022-03-21
• 厂        商： jonathan_leung
• 漏洞来源： Larry W. Cashdollar

漏洞简介

Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。

Ruby的Show In Browser gem 0.0.3版本中存在后置链接漏洞，该漏洞源于程序以不安全的方式创建临时文件。本地攻击者可通过对/tmp/browser.HTML文件实施符号链接攻击利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://rubygems.org/gems/show_in_browser

参考网址

来源:XF

名称:showinbrowser-cve20132105-symlink(84378)

链接:http://xforce.iss.net/xforce/xfdb/84378

来源:vapid.dhs.org

链接:http://vapid.dhs.org/advisories/show_in_browser.HTML

来源:MLIST

名称:[oss-security] 20130518 Re: Show In Browser 0.0.3 Ruby Gem /tmp file injection vulnerability

链接:http://www.openwall.com/lists/oss-security/2013/05/18/4

来源: BID

名称: 59991

链接:http://www.securityfocus.com/bid/59991

受影响实体

• Jonathan_leung Show_in_browser:0.0.3:~~~Ruby~~  

补丁

暂无