CVE-2019-5418


július 8. 13:03

Rails Ruby on Rails Path Traversal sérülékenysége
Angol cím: Rails Ruby on Rails Path Traversal Vulnerability

Publikálás dátuma: 2025.07.08.
Utolsó módosítás dátuma: 2025.07.08.

Leírás

A szoftver külső bemenetet használ a korlátozott szülőkönyvtár alatt található fájl vagy könyvtár azonosítására szolgáló helynév megalkotásához, de a szoftver nem megfelelően semlegesíti azokat a speciális elemeket az értékben, amelyek az útvonalat olyan helyre írányítják, amely a korlátozott könyvtáron kívül van.

Leírás forrása: CWE-22 Leírás utolsó módosítása: 2025.04.03.

Elemzés leírás

Eredeti nyelven:

There is a File Content Disclosure vulnerability in Action View <5.2.2.1, <5.1.6.2, <5.0.7.2, <4.2.11.1 and v3 where specially crafted accept headers can cause contents of arbitrary files on the target system’s filesystem to be exposed.

Elemzés leírás forrása: CVE-2019-5418 Elemzés leírás utolsó módosítása: 2025.07.07.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 7.5 (Magas)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Impact Score: 3.6
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): None
Availability Impact (A): None

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

lists.opensuse.org
packetstormsecurity.com
openwall.com
access.redhat.com
access.redhat.com
access.redhat.com
access.redhat.com
groups.google.com
lists.debian.org
lists.fedoraproject.org
web.archive.org
weblog.rubyonrails.org
exploit-db.com

Sérülékeny szoftverek

Configuration 1
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 3.0.0 Up to (excluding) 4.2.11.1
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.0.0 Up to (excluding) 5.0.7.2
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.1.0 Up to (excluding) 5.1.6.2
cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* From (including) 5.2.0 Up to (excluding) 5.2.2.1

Configuration 2
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*

Configuration 3
cpe:2.3:a:redhat:cloudforms:4.7:*:*:*:*:*:*:*

Configuration 4
cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*

Configuration 5
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*

Configuration 6
cpe:2.3:a:redhat:cloudforms:4.6:*:*:*:*:*:*:*
cpe:2.3:a:redhat:software_collections:1.0:*:*:*:*:*:*:*

Címkék

Ruby on Rails

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-11198 – Juniper Networks Security Director Policy Enforcer sérülékenysége
CVE-2025-59975 – Juniper Networks Junos Space sérülékenysége
CVE-2025-59964 – Juniper Networks Junos OS sérülékenysége
CVE-2025-60004 – Juniper Networks Junos OS and Junos OS Evolved sérülékenysége
CVE-2025-59968 – Juniper Networks Junos Space Security Director sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
Tovább a sérülékenységekhez »