Devise 安全绕过漏洞(CVE-2013-0233)

文章由LinuxBoy分享于2019-04-02 04:04:39热评（189）

Devise 安全绕过漏洞(CVE-2013-0233)

发布日期：2013-01-28
更新日期：2013-03-07

受影响系统：
rubygems devise 2.x
rubygems devise 2.x
rubygems devise 1.x
rubygems devise 1.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 57577
CVE(CAN) ID: CVE-2013-0233

Ruby on Rails Devise是灵活的的身份验证解决方案。

Ruby on Rails Devise在解析畸形请求时存在类型转换错误，可导致绕过安全限制。

<*来源：joernchen

链接：http://www.osvdb.org/89642
http://www.metasploit.com/modules/auxiliary/admin/http/rails_devise_pass_reset
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

rubygems
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://rubygems.org/gems/devise

推荐文章：

Devise 安全绕过漏洞(CVE-2013-0233)