2024-01-16 08:53:28 YS 来源：ZONE.CI 全球网 0 阅读模式

> CarrierWave 注入漏洞

CarrierWave 注入漏洞

CNNVD-ID编号	CNNVD-202102-590	CVE编号	CVE-2021-21305
发布时间	2021-02-08	更新时间	2021-02-18
漏洞类型	注入	漏洞来源	N/A
危险等级	高危	威胁类型	远程
厂商	N/A

漏洞介绍

Mshibuya CarrierWave是美国Mshibuya个人组织的一个上传工具。提供了一种简单且极为灵活的方式来从Ruby应用程序上传文件。

CarrierWave 1.3.2和2.1.1之前版本存在注入漏洞，该漏洞源于＃manipulate!方法不恰当地求值了突变选项(：read/：write)的内容，从而允许攻击者创建一个可以作为Ruby代码执行的字符串。如果应用程序开发人员向该选项提供不受信任的输入，则会导致远程代码执行。

漏洞补丁

目前厂商已发布升级了CarrierWave 注入漏洞的补丁，CarrierWave 注入漏洞的补丁获取链接：

https://github.com/carrierwaveuploader/carrierwave/commit/387116f5c72efa42bc3938d946b4c8d2f22181b7

参考网址

来源:MISC

链接：https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#211---2021-02-08

来源:MISC

链接：https://rubygems.org/gems/carrierwave

来源:MISC

链接：https://github.com/carrierwaveuploader/carrierwave/commit/387116f5c72efa42bc3938d946b4c8d2f22181b7

来源:CONFIRM

链接：https://github.com/carrierwaveuploader/carrierwave/security/advisories/GHSA-cf3w-g86h-35x4

来源:MISC

链接：https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#132---2021-02-08

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202102-590

本站原创文章转载请注明文章出处及链接，谢谢合作！

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

安全领域涉猎者-乌云独行地带

ZONE.CI 全球网

Plugins

WordPress

Web前端

设计资源

CarrierWave 注入漏洞

CarrierWave 注入漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

CarrierWave 注入漏洞

多款产品缓冲区错误漏洞

HPE Apollo 70 资源管理错误漏洞

CarrierWave 代码问题漏洞

Red Hat OpenShift Container Platform 安全漏洞

Netapp OnCommand System Manager 安全漏洞

Netapp Clustered Data ONTAP 安全漏洞

spritesheet.js 注入漏洞

HPE Apollo 70 缓冲区错误漏洞

SmartFoxServer 代码注入漏洞

ZONE.CI 全球网