Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) | ScanNetSecurity
2024.03.29(金)

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

Web アプリケーションフレームワークである Ruby on Rails において、動的なコンテンツ呼び出しに利用される Render メソッドの値検証不備に起因する遠隔コード実行の脆弱性が報告されています

脆弱性と脅威 エクスプロイト
Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)
Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 全 1 枚 拡大写真
◆概要
Web アプリケーションフレームワークである Ruby on Rails において、動的なコンテンツ呼び出しに利用される Render メソッドの値検証不備に起因する遠隔コード実行の脆弱性が報告されています。脆弱なバージョンの Rails で動作している Web アプリにおいて Render メソッドを用いているコンテンツが存在する場合、外部から Render メソッドに特殊な引数を入力することにより、遠隔から任意の Ruby コードを実行されてしまう可能性があります。
----------------------------------------------------------------------
◆分析者コメント
近年 Ruby on Rails を利用した Web アプリケーションも世界的に多いため、脆弱性の影響範囲は広いと考えられます。当該脆弱性は Rails の値検証不備に起因する問題では有りますが、アプリケーションの実装としては外部から Render メソッドを呼び出せてしまうことが好ましく無いと考えられるため、Ruby on Rails を利用した Web アプリケーションの運用者は運用しているアプリケーションに Render メソッドが用いられているかを確認するとともに、アプリケーションの実装についても見なおすことを推奨します。
----------------------------------------------------------------------
◆深刻度(CVSS)
[CVSS v2]
7.5
https://nvd.nist.gov/cvss/v2-calculator?name=CVE-2016-2098&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)
[CVSS v3]
7.3
https://nvd.nist.gov/cvss/v3-calculator?name=CVE-2016-2098&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
----------------------------------------------------------------------
◆影響を受けるソフトウェア
バージョン 4.2.5.2 未満の Rails が当該脆弱性の影響を受けると報告されて
います。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る