CVE-2014-0130
CVE-2014-0130
En resumen
Una vulnerabilidad en Ruby on Rails permite que atacantes lean archivos no autorizados mediante peticiones especialmente diseñadas cuando ciertas configuraciones de rutas están habilitadas. La aplicación no valida correctamente las rutas de los archivos.
Detalle técnico
Vulnerabilidad de travesía de directorios en el mecanismo de renderización implícita de Rails afecta versiones anteriores a 3.2.18, 4.0.5 y 4.1.1 cuando el globbing de rutas está configurado. Atacantes remotos pueden explotar secuencias de travesía de ruta en peticiones manipuladas para eludir la validación de rutas y leer archivos arbitrarios del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
Directory traversal vulnerability in actionpack/lib/abstract_controller/base.rb in the implicit-render implementation in Ruby on Rails before 3.2.18, 4.0.x before 4.0.5, and 4.1.x before 4.1.1, when certain route globbing configurations are enabled, allows remote attackers to read arbitrary files via a crafted request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/omarkurt/cve-2014-0130★ 18⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://matasano.com/research/AnatomyOfRailsVuln-CVE-2014-0130.pdfhttp://rhn.redhat.com/errata/RHSA-2014-1863.htmlhttps://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-0130http://www.securityfocus.com/bid/67244