检测

插件

最近更新时间

插件系列介绍

指标

风险暴露指标

Ruby on Rails 多种方法会话固定

medium Nessus 插件 ID 28333

语言：

简介

远程 Web 服务器受到会话固定漏洞的影响。

描述

远程主机上的 Web 服务器似乎为支持基于 URL 的会话的 Ruby on Rails 版本。未经身份验证的远程攻击者可能会利用此问题获取经身份验证的会话。

请注意，起初认为 Ruby on Rails 版本 1.2.4 会解决此问题，但在首先实例化 CgiRequest 时，其会话固定逻辑仅对第一个请求起作用。

解决方案

升级至 Ruby on Rails 1.2.6 或更高版本，并确保在“config/environment.rb”文件中将“config.action_controller.session_options[: cookie_only]”设置为“true”。

另见

http://www.nessus.org/u?d4902c46

http://www.nessus.org/u?d79d2646

http://www.nessus.org/u?abd8800d

http://www.nessus.org/u?0bcaddc8

插件详情

严重性: Medium

ID: 28333

文件名: ror_session_fixation.nasl

版本: 1.17

类型: remote

系列: Web Servers

发布时间: 2007/11/28

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.3

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: cpe:/a:rubyonrails:ruby_on_rails

排除的 KB 项: Settings/disable_cgi_scanning

易利用性: No known exploits are available

参考资料信息

CVE: CVE-2007-5380, CVE-2007-6077

BID: 26096, 26598

CWE: 362