Page 15 of 108 results (0.008 seconds)

CVSS: 7.5EPSS: 9%CPEs: 35EXPL: 0

Puppet 2.7.x before 2.7.21 and 3.1.x before 3.1.1, when running Ruby 1.9.3 or later, allows remote attackers to execute arbitrary code via vectors related to "serialized attributes." Puppet v2.7.x anterior a v2.7.21 y 3.1.x anterior a v3.1.1, cuando ejecutan Ruby v1.9.3 o posterior, permite a atacantes remotos ejecutar código arbitario mediante vectores relacionados con "serialized attributes." • http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00004.html http://lists.opensuse.org/opensuse-updates/2013-04/msg00056.html http://secunia.com/advisories/52596 http://ubuntu.com/usn/usn-1759-1 http://www.debian.org/security/2013/dsa-2643 http://www.securityfocus.com/bid/58442 https://puppetlabs.com/security/cve/cve-2013-1655 • CWE-20: Improper Input Validation •

CVSS: 5.0EPSS: 19%CPEs: 14EXPL: 0

lib/rexml/text.rb in the REXML parser in Ruby before 1.9.3-p392 allows remote attackers to cause a denial of service (memory consumption and crash) via crafted text nodes in an XML document, aka an XML Entity Expansion (XEE) attack. lib/rexml/text.rb en el analizador REXML en Ruby anterior a 1.9.3-p392, permite a atacantes remotos provocar una denegación de servicio (consumo de memoria o caída de la aplicación) a través de nodos de texto manipulados en un documento XML. Aka como ataque XML Entity Expansion (XEE). • http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=702525 http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00001.html http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00015.html http://lists.opensuse.org/opensuse-updates/2013-04/msg00034.html http://lists.opensuse.org/opensuse-updates/2013-04/msg00036.html http://rhn.redhat.com/errata/RHSA-2013-0611.html http://rhn.redhat.com/errata/RHSA-2013-0612.html http://rhn.redhat.com/errata/RHSA-2013-1028.html h • CWE-20: Improper Input Validation •

CVSS: 5.0EPSS: 0%CPEs: 17EXPL: 0

darkfish.js in RDoc 2.3.0 through 3.12 and 4.x before 4.0.0.preview2.1, as used in Ruby, does not properly generate documents, which allows remote attackers to conduct cross-site scripting (XSS) attacks via a crafted URL. darkfish.js de RDoc v2.3.0 hasta v3.12 y v4.x antes de v4.0.0.preview2.1, tal como se utiliza en Ruby, no se generó correctamente los documentos, que permite a atacantes remotos realizar ejecución de secuencias de comandos en sitios cruzados (XSS) a través de una URL manipulada. • http://blog.segment7.net/2013/02/06/rdoc-xss-vulnerability-cve-2013-0256-releases-3-9-5-3-12-1-4-0-0-rc-2 http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00015.html http://lists.opensuse.org/opensuse-updates/2013-02/msg00048.html http://rhn.redhat.com/errata/RHSA-2013-0548.html http://rhn.redhat.com/errata/RHSA-2013-0686.html http://rhn.redhat.com/errata/RHSA-2013-0701.html http://rhn.redhat.com/errata/RHSA-2013-0728.html http://secunia.com/ • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.0EPSS: 0%CPEs: 9EXPL: 0

Ruby (aka CRuby) 1.9 before 1.9.3-p327 and 2.0 before r37575 computes hash values without properly restricting the ability to trigger hash collisions predictably, which allows context-dependent attackers to cause a denial of service (CPU consumption) via crafted input to an application that maintains a hash table, as demonstrated by a universal multicollision attack against a variant of the MurmurHash2 algorithm, a different vulnerability than CVE-2011-4815. Ruby (también conocido como CRuby) v1.9 anteriores a v1.9.3-p327 y v2.0 anteriores a r37575 calcula los valores de hash sin restringir la posibilidad de provocar colisiones hash previsibles, lo que permite a atacantes dependientes de contexto provocar una denegación de servicio (consumo de CPU) a través de la manipulación de una entrada para la aplicación que mantiene la tabla de valores hash, como lo demuestra un ataque universal multicolision contra una variante del algoritmo MurmurHash2, una vulnerabilidad diferente a CVE-2011-4815. • http://2012.appsec-forum.ch/conferences/#c17 http://asfws12.files.wordpress.com/2012/11/asfws2012-jean_philippe_aumasson-martin_bosslet-hash_flooding_dos_reloaded.pdf http://secunia.com/advisories/51253 http://securitytracker.com/id?1027747 http://www.ocert.org/advisories/ocert-2012-001.html http://www.osvdb.org/87280 http://www.ruby-lang.org/en/news/2012/11/09/ruby19-hashdos-cve-2012-5371 http://www.securityfocus.com/bid/56484 http://www.ubuntu.com/usn/USN-1733-1 http • CWE-310: Cryptographic Issues •

CVSS: 5.0EPSS: 0%CPEs: 2EXPL: 0

The rb_get_path_check function in file.c in Ruby 1.9.3 before patchlevel 286 and Ruby 2.0.0 before r37163 allows context-dependent attackers to create files in unexpected locations or with unexpected names via a NUL byte in a file path. La función rb_get_path_check en file.c en Ruby v1.9.3 anterior a patchlevel 286 y Ruby v2.0.0 anterior a r37163 permite a atacantes dependientes de contexto crear archivos en ubicaciones inesperadas o con nombres inesperados a través de un byte NUL en una ruta de archivo. • http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090235.html http://lists.fedoraproject.org/pipermail/package-announce/2012-October/090515.html http://rhn.redhat.com/errata/RHSA-2013-0129.html http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?view=revision&revision=37163 http://www.openwall.com/lists/oss-security/2012/10/12/6 http://www.openwall.com/lists/oss-security/2012/10/13/1 http://www.openwall.com/lists/oss-security/2012/10/16/1 http://www.ruby • CWE-264: Permissions, Privileges, and Access Controls CWE-626: Null Byte Interaction Error (Poison Null Byte) •