Twitter Secure Headers 注入漏洞

CNNVD-ID编号	CNNVD-202001-1032
CVE编号	CVE-2020-5217
发布时间	2020-01-22
更新时间	2020-10-29
漏洞类型	注入
漏洞来源	N/A
危险等级	中危
威胁类型	远程
厂商	N/A

漏洞介绍

RubyGems是RubyGems组织的一款Ruby程序包管理器。该产品主要用于发布和管理Ruby程序包。

Twitter Secure Headers（RubyGem secure_headers）3.8.0版本、5.1.0版本和6.2.0之前版本中存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中，网络系统或产品缺乏对用户输入数据的正确验证，未过滤或未正确过滤掉其中的特殊元素，导致系统或产品产生解析或解释方式错误。

漏洞补丁

目前厂商已发布升级了Twitter Secure Headers 注入漏洞的补丁，Twitter Secure Headers 注入漏洞的补丁获取链接：

https://github.com/twitter/secure_headers/security/advisories/GHSA-xq52-rv6w-397c

参考网址

来源:github.com

链接：https://github.com/twitter/secure_headers/issues/418
来源:github.com

链接：https://github.com/twitter/secure_headers/commit/936a160e3e9659737a9f9eafce13eea36b5c9fa3
来源:github.com

链接：https://github.com/twitter/secure_headers/security/advisories/GHSA-xq52-rv6w-397c
来源:github.com

链接：https://github.com/twitter/secure_headers/pull/421
来源:www.auscert.org.au

链接：https://www.auscert.org.au/bulletins/ESB-2020.3703/
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-5217

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202001-1032