漏洞标题
Action Mailer block_format中存在潜在的ReDoS漏洞
漏洞描述信息
Action Mailer 是一个用于设计电子邮件服务层的框架。在版本 3.0.0 至 6.1.7.9、7.0.8.5、7.1.4.1 和 7.2.1.1 之间,Action Mailer 中的 block_format 辅助函数存在一个潜在的 ReDoS(正则表达式拒绝服务)漏洞。精心构造的文本可以使 block_format 辅助函数意外地消耗过多时间,可能导致 DoS(拒绝服务)漏洞。所有运行受影响版本的用户应立即升级到 6.1.7.9、7.0.8.5、7.1.4.1 或 7.2.1.1 版本,或应用相关补丁。作为临时解决方案,用户可以避免调用 `block_format` 辅助函数,或者升级到 Ruby 3.2。Ruby 3.2 对此问题进行了缓解,因此使用 Ruby 3.2 或更高版本的 Rails 应用程序不受影响。Rails 8.0.0.beta1 需要使用 Ruby 3.2 或更高版本,因此不受影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Action Mailer has possible ReDoS vulnerability in block_format
漏洞描述信息
Action Mailer is a framework for designing email service layers. Starting in version 3.0.0 and prior to versions 6.1.7.9, 7.0.8.5, 7.1.4.1, and 7.2.1.1, there is a possible ReDoS vulnerability in the block_format helper in Action Mailer. Carefully crafted text can cause the block_format helper to take an unexpected amount of time, possibly resulting in a DoS vulnerability. All users running an affected release should either upgrade to versions 6.1.7.9, 7.0.8.5, 7.1.4.1, or 7.2.1.1 or apply the relevant patch immediately. As a workaround, users can avoid calling the `block_format` helper or upgrade to Ruby 3.2. Ruby 3.2 has mitigations for this problem, so Rails applications using Ruby 3.2 or newer are unaffected. Rails 8.0.0.beta1 requires Ruby 3.2 or greater so is unaffected.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Rails 安全漏洞
漏洞描述信息
Rails是美国Rails团队的一套基于Ruby语言的开源Web应用框架。 Rails存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。
CVSS信息
N/A
漏洞类别
其他