一、 漏洞 CVE-2024-27280 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在Ruby 3.0.x(从3.0.1到3.0.6)和3.1.x(从3.1.1到3.1.4)中分发的StringIO 3.0.1中发现了一个缓冲区溢出问题。StringIO的ungetbyte和ungetc方法可以读取字符串结尾之后的内容,随后调用StringIO.gets可能会返回内存值。主要的修复版本为3.0.3;然而,对于Ruby 3.0用户,修复版本为stringio 3.0.1.1,对于Ruby 3.1用户,修复版本为stringio 3.0.1.2。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
跨界内存读
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A buffer-overread issue was discovered in StringIO 3.0.1, as distributed in Ruby 3.0.x through 3.0.6 and 3.1.x through 3.1.4. The ungetbyte and ungetc methods on a StringIO can read past the end of a string, and a subsequent call to StringIO.gets may return the memory value. 3.0.3 is the main fixed version; however, for Ruby 3.0 users, a fixed version is stringio 3.0.1.1, and for Ruby 3.1 users, a fixed version is stringio 3.0.1.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
StringIO 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
StringIO是The Ruby Programming Language开源的一个 Ruby 输入输出库。 StringIO 3.0.2及之前版本存在安全漏洞,该漏洞源于存在缓冲区重写问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-27280 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-27280 的情报信息