fog-dragonfly Ruby Gem ‘imagemagickutils.rb’命令注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166393 漏洞类型 代码注入
发布时间 2013-09-02 更新时间 2013-09-02
CVE编号 CVE-2013-5671 CNNVD-ID CNNVD-201308-551
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
https://www.securityfocus.com/bid/62092
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-551
|漏洞详情
fog-dragonflygemforRuby是英国软件开发者MarkEvans和法国软件开发者CyrilMougel共同研发的一套基于Rack的Ruby图像处理框架。Rubyfog-dragonflygem0.8.2版本的lib/dragonfly/imagemagickutils.rb文件存在安全漏洞。远程攻击者可利用该漏洞执行任意命令。
|参考资料

来源:MLIST
名称:[oss-security]20130901RemoteCommandInjectioninfog-dragonfly-0.8.2RubyGem
链接:http://seclists.org/oss-sec/2013/q3/526
来源:www.vapid.dhs.org
链接:http://www.vapid.dhs.org/advisories/fog-dragonfly-0.8.2-cmd-inj.html
来源:MLIST
名称:[oss-security]20130901Re:RemoteCommandInjectioninfog-dragonfly-0.8.2RubyGem
链接:http://seclists.org/oss-sec/2013/q3/528
来源:FULLDISC
名称:20130903RemoteCommandInjectioninfog-dragonfly-0.8.2RubyGem
链接:http://seclists.org/fulldisclosure/2013/Sep/18
来源:OSVDB
名称:96798
链接:http://www.osvdb.org/96798
来源:BID
名称:62092
链接:http://www.securityfocus.com/bid/62092