一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属组件：rubygem-actionpack

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904

漏洞分析指导链接：

https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md

二、漏洞分析结构反馈

影响性分析说明：

openEuler评分：

7.5

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响版本排查(受影响/不受影响)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

修复是否涉及abi变化(是/否)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属组件：rubygem-actionpack

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞公开时间：2021-06-11

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904

漏洞分析指导链接：

https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md

二、漏洞分析结构反馈

影响性分析说明：

openEuler评分：

7.5

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响版本排查(受影响/不受影响)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

修复是否涉及abi变化(是/否)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属组件：rubygem-actionpack

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904

漏洞分析指导链接：

https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md

二、漏洞分析结构反馈

影响性分析说明：

openEuler评分：

7.5

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响版本排查(受影响/不受影响)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

修复是否涉及abi变化(是/否)：

1.openEuler-20.03-LTS-SP1(5.2.4.4):

一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属组件：rubygem-actionpack

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904

漏洞分析指导链接：

https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md

二、漏洞分析结构反馈

影响性分析说明：

openEuler评分：

7.5

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响版本排查(受影响/不受影响)：

一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属组件：rubygem-actionpack

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞公开时间：2021-06-11

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904

漏洞分析指导链接：

https://gitee.com/openeuler/cve-manager/blob/master/doc/md/manual.md

二、漏洞分析结构反馈

影响性分析说明：

由于过于宽松的正则表达式，6.1.3.2、6.0.3.7、5.2.4.6、5.2.6 之前的 actionpack ruby gem 在 Action Controller 中的令牌验证逻辑中可能存在拒绝服务漏洞。 受影响的代码使用“authenticate_or_request_with_http_token”或“authenticate_with_http_token”进行请求身份验证。

openEuler评分：

7.5

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

受影响版本排查(受影响/不受影响)：

1.master(5.2.4.4):受影响

2.openEuler-20.03-LTS-Next(5.2.4.4):受影响

3.openEuler-20.03-LTS-SP1(5.2.4.4):受影响

4.openEuler-20.03-LTS-SP2(5.2.4.4):受影响

5.openEuler-21.03(5.2.4.4):受影响

修复是否涉及abi变化(是/否)：

1.master(5.2.4.4):否

2.openEuler-20.03-LTS-Next(5.2.4.4):否

3.openEuler-20.03-LTS-SP1(5.2.4.4):否

4.openEuler-20.03-LTS-SP2(5.2.4.4):否

5.openEuler-21.03(5.2.4.4):否

一、漏洞信息

漏洞编号：[CVE-2021-22904](https://nvd.nist.gov/vuln/detail/CVE-2021-22904)

漏洞归属的版本：5.2.3,5.2.4.4

CVSS V3.0分值：

BaseScore：7.5 High

Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞简述：

The actionpack ruby gem before 6.1.3.2, 6.0.3.7, 5.2.4.6, 5.2.6 suffers from a possible denial of service vulnerability in the Token Authentication logic in Action Controller due to a too permissive regular expression. Impacted code uses `authenticate_or_request_with_http_token` or `authenticate_with_http_token` for request authentication.

漏洞创建时间：2021-06-24 14:16:11

漏洞详情参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2021-22904