CVE-2013-0269 – rubygem-json: Denial of Service and SQL Injection

https://notcve.org/view.php?id=CVE-2013-0269

The JSON gem before 1.5.5, 1.6.x before 1.6.8, and 1.7.x before 1.7.7 for Ruby allows remote attackers to cause a denial of service (resource consumption) or bypass the mass assignment protection mechanism via a crafted JSON document that triggers the creation of arbitrary Ruby symbols or certain internal objects, as demonstrated by conducting a SQL injection attack against Ruby on Rails, aka "Unsafe Object Creation Vulnerability." El JSON gem v1.7.x anteriores a 1.7.7, v1.6.x anteriores a v1.6.8, y v1.5.x anteriores a v1.5.5 permite a atacantes remotos provocar una denegación de servicio (consumo de recursos) o evitar el mecanismo de protección de asignación masiva a través de un documento JSON manipulado que lanza la creación de símbolos arbitrarios en Ruby o ciertos objetos internos, como se demostró como se ha demostrado mediante la realización de un ataque de inyección SQL en Ruby on Rails, también conocido como "Vulnerabilidad de creación de objetos no seguro". • https://github.com/heroku/heroku-CVE-2013-0269 http://lists.apple.com/archives/security-announce/2013/Oct/msg00006.html http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00001.html http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00015.html http://lists.opensuse.org/opensuse-updates/2013-04/msg00034.html http://rhn.redhat.com/errata/RHSA-2013-0686.html http://rhn.redhat.com/errata/RHSA-2013-0701.html http://rhn.redhat.com/errata/RHSA-2013-1028.html http • CWE-20: Improper Input Validation CWE-502: Deserialization of Untrusted Data •