Rails の大量割り当て

high Web App Scanning プラグイン ID 112808

概要

Rails の大量割り当て

説明

Ruby On Railsは、Model-View-Controller (MVC) アーキテクチャパターンに基づいてWebアプリケーションを構築するために使用される一般的なフレームワークです。

アプリケーションがリクエストパラメーターとモデル属性の間のマッピングを自動的に実行するとき、大量割り当ての脆弱性が発生します。攻撃者がこの脆弱性を悪用して、エンドユーザーに公開されるべきではない内部属性を変更し、権限の取得や機密情報の漏洩などのアプリケーションロジックに応じて複数の影響を与える可能性があります。

ソリューション

アプリケーションは、attr_accessible メソッドを通じてパラメーターの明示的な許可リストを使用することで、属性へのアクセスを制御する必要があります。

参考資料

https://cheatsheetseries.owasp.org/cheatsheets/Mass_Assignment_Cheat_Sheet.html

https://guides.rubyonrails.org/v3.2.9/security.html#mass-assignment

https://stephensclafani.com/2010/01/04/ruby-on-rails-secure-mass-assignment/

プラグインの詳細

深刻度: High

ID: 112808

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2021/6/18

更新日: 2023/8/29

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: Tenable

CVSS v3

リスクファクター: High

基本値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N

CVSS スコアのソース: Tenable

参照情報