← volver
CVE-2014-0130

CVE-2014-0130

CVSS 7.5 HIGHEPSS 53.7%● KEVCWE-22
Vexday Risk Score
83Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.5EPSS 53.7%KEV simPoC públicaNuclei Metasploit Patch referenciado
Ciclo de vida
07 may 2014Publicada en NVD
08 may 2014PoC pública
25 mar 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Una vulnerabilidad en Ruby on Rails permite que atacantes lean archivos no autorizados mediante peticiones especialmente diseñadas cuando ciertas configuraciones de rutas están habilitadas. La aplicación no valida correctamente las rutas de los archivos.

Detalle técnico

Vulnerabilidad de travesía de directorios en el mecanismo de renderización implícita de Rails afecta versiones anteriores a 3.2.18, 4.0.5 y 4.1.1 cuando el globbing de rutas está configurado. Atacantes remotos pueden explotar secuencias de travesía de ruta en peticiones manipuladas para eludir la validación de rutas y leer archivos arbitrarios del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.
Directory traversal vulnerability in actionpack/lib/abstract_controller/base.rb in the implicit-render implementation in Ruby on Rails before 3.2.18, 4.0.x before 4.0.5, and 4.1.x before 4.1.1, when certain route globbing configurations are enabled, allows remote attackers to read arbitrary files via a crafted request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas1
githubgithub.com/omarkurt/cve-2014-013018
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://matasano.com/research/AnatomyOfRailsVuln-CVE-2014-0130.pdfhttp://rhn.redhat.com/errata/RHSA-2014-1863.htmlhttps://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-0130http://www.securityfocus.com/bid/67244