CVE-2019-5418


ma 13:03

Rails Ruby on Rails Path Traversal sérülékenysége
Angol cím: Rails Ruby on Rails Path Traversal Vulnerability

Publikálás dátuma: 2025.07.08.
Utolsó módosítás dátuma: 2025.07.08.

Leírás

A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.

Leírás forrása: CWE-22 Leírás utolsó módosítása: 2025.04.03.

Elemzés leírás

Eredeti nyelven:

There is a File Content Disclosure vulnerability in Action View <5.2.2.1, <5.1.6.2, <5.0.7.2, <4.2.11.1 and v3 where specially crafted accept headers can cause contents of arbitrary files on the target system’s filesystem to be exposed.

Elemzés leírás forrása: CVE-2019-5418 Elemzés leírás utolsó módosítása: 2025.07.07.

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Hatás pontszáma: 3.6
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Nincs

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

lists.opensuse.org
packetstormsecurity.com
openwall.com
access.redhat.com
access.redhat.com
access.redhat.com
access.redhat.com
groups.google.com
lists.debian.org
lists.fedoraproject.org
web.archive.org
weblog.rubyonrails.org
exploit-db.com

Sérülékeny szoftverek

Configuration 1
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 3.0.0 Up to (excluding) 4.2.11.1
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.0.0 Up to (excluding) 5.0.7.2
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.1.0 Up to (excluding) 5.1.6.2
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.2.0 Up to (excluding) 5.2.2.1

Configuration 2
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

Configuration 3
cpe:2.3:a:redhat:cloudforms:4.7:*:*:*:*:*:*:*

Configuration 4
cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*

Configuration 5
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*

Configuration 6
cpe:2.3:a:redhat:cloudforms:4.6:*:*:*:*:*:*:*
cpe:2.3:a:redhat:software_collections:1.0:*:*:*:*:*:*:*

Címkék

Ruby on Rails

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »