CVE-2014-0130
CVE-2014-0130
Em resumo
Uma falha no Ruby on Rails permite que atacantes leiam arquivos não autorizados através de requisições especialmente criadas quando certas configurações de rotas estão ativadas. A aplicação não valida corretamente os caminhos dos arquivos.
Detalhe técnico
Vulnerabilidade de travessia de diretórios no mecanismo de renderização implícita do Rails afeta versões anteriores a 3.2.18, 4.0.5 e 4.1.1 quando globbing de rotas está configurado. Atacantes remotos podem explorar sequências de travessia de caminho em requisições manipuladas para contornar a validação de caminhos e ler arquivos arbitrários do servidor.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Directory traversal vulnerability in actionpack/lib/abstract_controller/base.rb in the implicit-render implementation in Ruby on Rails before 3.2.18, 4.0.x before 4.0.5, and 4.1.x before 4.1.1, when certain route globbing configurations are enabled, allows remote attackers to read arbitrary files via a crafted request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/omarkurt/cve-2014-0130★ 18⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://matasano.com/research/AnatomyOfRailsVuln-CVE-2014-0130.pdfhttp://rhn.redhat.com/errata/RHSA-2014-1863.htmlhttps://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-0130http://www.securityfocus.com/bid/67244