一、 漏洞 CVE-2019-3881 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Bundler 2.1.0之前,它使用/tmp/中的一个可预测的路径,如果用户主目录下的位置不可用,就使用不安全的权限创建 gems 的存储位置。如果用户没有可写主目录,攻击者可以在这个目录中放置恶意代码,然后将其加载并执行。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Bundler prior to 2.1.0 uses a predictable path in /tmp/, created with insecure permissions as a storage location for gems, if locations under the user's home directory are not available. If Bundler is used in a scenario where the user does not have a writable home directory, an attacker could place malicious code in this directory that would be later loaded and executed.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对搜索路径元素未加控制
来源:美国国家漏洞数据库 NVD
漏洞标题
Bundler 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Bundler是一个应用软件。通过跟踪和安装所需的确切gem和版本,为Ruby项目提供了一致的环境。 Bundler prior 2.1.0版本的rubygem-bundler中存在代码问题漏洞,该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2019-3881 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2019-3881 的情报信息