Уязвимость CVE-2020-8166: Информация

Описание

A CSRF forgery vulnerability exists in rails < 5.2.5, rails < 6.0.4 that makes it possible for an attacker to, given a global CSRF token such as the one present in the authenticity_token meta tag, forge a per-form CSRF token.

Важность: MEDIUM (4,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

URL: https://nvd.nist.gov/vuln/detail/CVE-2020-8166

Опубликовано: 2 июля 2020 г.

Изменено: 20 ноября 2020 г.

Идентификатор типа ошибки: CWE-352

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
gem-rails	sisyphus	5.2.4.3-alt1	6.1.7.7-alt1	ALT-PU-2020-2321-1	246774	Исправлено
gem-rails	p10	6.1.7.1-alt1.1	6.1.7.1-alt1.2	ALT-PU-2023-4268-4	307833	Исправлено
gem-rails	p11	5.2.4.3-alt1	6.1.7.7-alt1	ALT-PU-2020-2321-1	246774	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
https://groups.google.com/g/rubyonrails-security/c/NOjKiGeXUgw	Mailing List Patch Third Party Advisory
https://hackerone.com/reports/732415	Exploit Third Party Advisory
DSA-4766	Third Party Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:*
  Start including
  6.0.0
  End excliding
  6.0.3.1
  cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:*
  End excliding
  5.2.4.3
  
  Конфигурация 2
  cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Версия: v24.5.3

Наверх

Уязвимость CVE-2020-8166: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1

Конфигурация 2