Ruby 命令注入漏洞
CNNVD-ID编号 |
CNNVD-202105-036 |
CVE编号 |
CVE-2021-31799 |
发布时间 |
2021-05-03 |
更新时间 |
2021-05-06 |
漏洞类型 |
命令注入 |
漏洞来源 |
N/A |
危险等级 |
高危 |
威胁类型 |
远程 |
厂商 |
N/A |
漏洞介绍
Ruby是松本行弘个人开发者的一种跨平台、面向对象的动态类型编程语言。
Ruby 存在命令注入漏洞,该漏洞源于输入验证不正确,未经身份验证的远程攻击者可利用该漏洞可以将专门设计的数据传递给应用程序,并在目标系统上执行任意命令。以下产品及版本受到影响:RDoc: 3.11, 3.12, 3.12.1, 3.12.2, 4.0.0, 4.0.0 rc.2, 4.0.0 rc.2.1, 4.0.0.preiew2, 4.0.0.preiew2.1, 4.0.1, 4.1.0, 4.1.0.preiew.1, 4.1.0.preiew.3, 4.1.1, 4.1.2, 4.2.0, 4.2.1, 4.2.2, 4.3.0, 5.0.0, 5.0.0 beta1, 5.0.0 beta2, 5.0.1, 5.1.0, 6.0.0, 6.0.0 beta1, 6.0.0 beta2, 6.0.0 beta3, 6.0.0 beta4, 6.0.1, 6.0.1.1, 6.0.2, 6.0.3, 6.0.4, 6.1.0, 6.1.0 beta1, 6.1.0 beta2, 6.1.0 beta3, 6.1.1, 6.1.2, 6.2.0, 6.2.1, 6.3.0。
漏洞补丁
目前厂商已发布升级了Ruby 命令注入漏洞的补丁,Ruby 命令注入漏洞的补丁获取链接:
https://www.ruby-lang.org/en/news/2021/05/02/os-command-injection-in-rdoc/
参考网址
受影响实体
信息来源