NVD

Id
38560  
Name
CVE-2013-2506  
Description
app/models/spree/user.rb in spree_auth_devise in Spree 1.1.x before 1.1.6, 1.2.x, and 1.3.x does not perform mass assignment safely when updating a user, which allows remote authenticated users to assign arbitrary roles to themselves.  
Reject
 
CVSS Version
2  
CVSS Score
4  
Severity
Medium  
CVSS Base Score
4  
CVSS Impact Subscore
2.9  
CVSS Exploit Subscore
8  
CVSS Vector
(AV:N/AC:L/Au:S/C:N/I:P/A:N)  
Pub Date
2017-01-18  
Published
2013-03-08  
Modified Date
2013-03-18  
Seq
2013-2506  

Actions

Related NVD References

Id NVD Id NVD No. Reference Actions
197800 38560 CVE-2013-2506 http://spreecommerce.com/blog/multiple-security-vulnerabilities-fixed  View
197801 38560 CVE-2013-2506 https://github.com/spree/spree_auth_devise/commit/038d74771d3b5c13d13b738b73dfda1033a99f65  View

Related JVN

Id Name Title Summary Cveinfo Name Cveinfo Id Nvdinfo Name Nvdinfo Id Cvssv2 Cvssv3 Jvnurl Published Date Last Updated Date Actions
20283 JVNDB-2013-001858 Spree における任意のロールを割り当てられる脆弱性 Spree の spree_auth_devise 内の app/models/spree/user.rb は、ユーザをアップデートする際、マスアサインメントを安全に実行しないため、リモート認証されたユーザに任意のロールを割り当てられる脆弱性が存在します。 CVE-2013-2506 62448 CVE-2013-2506 38560 4 http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001858.html 2013-02-21 2013-03-19 View