Ruby on Rails Action View组件目录遍历漏洞 CVE-2016-2097 CNNVD-201603-129
5.0
AV
AC
AU
C
I
A
发布:
2016-04-07
修订:
2019-08-08
Ruby on Rails(Rails)是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架,它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Action View是其中的一个用于渲染视图并可以在任何Ruby代码库中使用的独立代码库。 Ruby on Rails 3.2.22.2之前版本和4.1.14.2之前4.x版本的Action View中存在目录遍历漏洞,该漏洞源于‘render’函数没有充分过滤用户提交的输入。远程攻击者可通过向应用程序发送带有目录遍历字符‘..’的请求利用该漏洞读取任意文件。
漏洞利用/PoC
当前有2条漏洞利用/PoC
受影响的平台与产品
当前有51条受影响产品信息
