Ruby on Rails – możliwość odczytywania plików z serwera (CVE-2019-5418) oraz DoS. Łatajcie
W skrócie chodzi o użycie takiego ‚niewinnego’ kodu:
1 |
render file: "#{Rails.root}/some/file" |
Specially crafted accept headers in combination with calls to render file: can cause arbitrary files on the target server to be rendered, disclosing the file contents. The impact is limited to calls to render which render file contents without a specified…
Czytaj dalej »