Rails [CVE-2019-5418] Rails 路径穿越 任意文件读取

zj0713001 · 2019年03月18日 · 最后由 jicheng1014 回复于 2019年03月20日 · 1508 次阅读
Versions Affected: All.
Not affected: None.
Fixed Versions: 6.0.0.beta3, 5.2.2.1, 5.1.6.2, 5.0.7.2, 4.2.11.1

详情:https://groups.google.com/forum/#!topic/rubyonrails-security/pFRKI96Sm8Q

修复已经发布,请各位同学尽快升级吧。。。

共收到 4 条回复

关注度太低,置顶几天。

Rei 回复

感谢 可能是大家都没用到未指定参数的 render file 吧,可能看了看对自己没影响就不关注了

查了一下,我司代码里(万幸)只有一个地方用到了不指定格式的 render file

如果真的暴露了还是很危险的 一键获取任意文件

另一个帖子 漏洞分析

只有一个废弃的项目用了 render file

huacnlee 转 rails render file 漏洞 中提及了此贴 03月21日 14:07
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册