GHSA-29gr-w57f-rpfw

Опубликовано: 24 окт. 2017

Источник: github

Github: Прошло ревью

Описание

actionpack vulnerable to Path Traversal

Directory traversal vulnerability in actionpack/lib/action_dispatch/middleware/static.rb in Action Pack in Ruby on Rails 3.x before 3.2.20, 4.0.x before 4.0.11, 4.1.x before 4.1.7, and 4.2.x before 4.2.0.beta3, when serve_static_assets is enabled, allows remote attackers to determine the existence of files outside the application root via a /..%2F sequence.

Ссылки

Пакеты

Наименование

actionpack

rubygems

Затронутые версииВерсия исправления

>= 3.0.0, < 3.2.20

3.2.20

Наименование

actionpack

rubygems

Затронутые версииВерсия исправления

>= 4.0.0, < 4.0.11

4.0.11

Наименование

actionpack

rubygems

Затронутые версииВерсия исправления

>= 4.1.0, < 4.1.7

4.1.7

Наименование

actionpack

rubygems

Затронутые версииВерсия исправления

>= 4.2.0.beta1, < 4.2.0.beta3

4.2.0.beta3

EPSS

Процентиль: 45%

0.00222

Низкий

CVE ID

CVE-2014-7818

Дефекты

CWE-22

Связанные уязвимости

CVE-2014-7818

ubuntu

около 11 лет назад

Directory traversal vulnerability in actionpack/lib/action_dispatch/middleware/static.rb in Action Pack in Ruby on Rails 3.x before 3.2.20, 4.0.x before 4.0.11, 4.1.x before 4.1.7, and 4.2.x before 4.2.0.beta3, when serve_static_assets is enabled, allows remote attackers to determine the existence of files outside the application root via a /..%2F sequence.