ГлавнаяБаза уязвимостей БДУ → BDU:2016-00577
5средняя

BDU:2016-00577

Уязвимость программной платформы Ruby on Rails, позволяющая нарушителю читать произвольные файлы
Опубликовано: 2016-03-17
Описание

Уязвимость компонента Action View программной платформы Ruby on Rails связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, читать произвольные файлы в результате использования приложением в имени пути знаков ".." (точка точка)

Затрагиваемое ПО и версии
Ruby on Rails (до 3.2.22.1)Ruby on Rails (от 4.0 до 4.1.14.1)Ruby on Rails (от 4.2 до 4.2.5.1)Ruby on Rails (от 5 до 5.0.0.beta1.1)
Способ устранения

Обновление программного средства до версии 3.2.22.1, 4.1.14.1, 4.2.5.1, 5.0.0.beta1.1 или более новой

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://groups.google.com/forum/message/raw?msg=ruby-security-ann/335P1DcLG00/JXcBnTtZEgAJhttp://www.openwall.com/lists/oss-security/2016/01/25/13https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена