Ruby on Rails Directory Traversal Vulnerability — Directory traversal vulnerability in actionpack/lib/abstract_controller/base.rb in the implicit-render implementation in Ruby on Rails allows remote attackers to read arbitrary files via a crafted request.
CVE-2014-0130 is a critical directory traversal vulnerability in Ruby on Rails' implicit-render implementation that allows remote attackers to read arbitrary files through crafted requests. This vulnerability affects the actionpack component and poses a severe risk to web applications built with vulnerable Rails versions.
تسمح هذه الثغرة للمهاجمين بقراءة ملفات عشوائية على الخادم من خلال استغلال آلية الرندر الضمني في Rails. يمكن للمهاجمين الوصول إلى ملفات حساسة مثل ملفات التكوين وقواعد البيانات وبيانات المستخدمين. الثغرة تتطلب فقط إرسال طلب HTTP مصنوع بشكل خاص دون الحاجة إلى مصادقة.
CVE-2014-0130 هي ثغرة اجتياز الدليل الحرجة في تطبيق Ruby on Rails الضمني التي تسمح للمهاجمين البعيدين بقراءة ملفات عشوائية من خلال طلبات مصنوعة. تؤثر هذه الثغرة على مكون actionpack وتشكل خطراً شديداً على تطبيقات الويب المبنية على إصدارات Rails الضعيفة.
Upgrade Ruby on Rails to version 4.1.1, 4.0.5, or 3.2.18 or later. Apply security patches immediately to all affected Rails installations. Review and restrict file access permissions. Implement input validation and sanitization for all user-supplied parameters.
قم بترقية Ruby on Rails إلى الإصدار 4.1.1 أو 4.0.5 أو 3.2.18 أو أحدث. طبق تصحيحات الأمان فوراً على جميع تثبيتات Rails المتأثرة. راجع وقيد أذونات الوصول إلى الملفات. طبق التحقق من صحة المدخلات وتنظيفها لجميع المعاملات المزودة من قبل المستخدم.