◆概要
Web アプリケーションフレームワークである Rails に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、Rails アプリケーションを実行している権限で悪意のあるコードを実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性の悪用可否は、対象アプリケーションの実装に依存しますが、脆弱性が悪用されてしまった場合は、アプリケーションが稼働しているサーバに侵入されてしまいます。Rails により開発された Web アプリケーションを運用している場合は、Rails のアップデートにより速やかに対策してください。
◆影響を受けるソフトウェア
以下のバージョンの Rails が、当該脆弱性の影響を受けると報告されています。
+ 5.x 系: 5.0.1 未満
+ 4.x 系: 4.2.11.3 未満
◆深刻度 (CVSS v3)
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-8163&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆解説
Web アプリケーションフレームワークである Rails に、値検証の不備により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
Web アプリケーションフレームワークである Rails に、遠隔から任意のコードを実行させることが可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合は、Rails アプリケーションを実行している権限で悪意のあるコードを実行されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性の悪用可否は、対象アプリケーションの実装に依存しますが、脆弱性が悪用されてしまった場合は、アプリケーションが稼働しているサーバに侵入されてしまいます。Rails により開発された Web アプリケーションを運用している場合は、Rails のアップデートにより速やかに対策してください。
◆影響を受けるソフトウェア
以下のバージョンの Rails が、当該脆弱性の影響を受けると報告されています。
+ 5.x 系: 5.0.1 未満
+ 4.x 系: 4.2.11.3 未満
◆深刻度 (CVSS v3)
8.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2020-8163&vector=AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆解説
Web アプリケーションフレームワークである Rails に、値検証の不備により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
![ホームルーター調査、127製品ほぼ全てに脆弱性/英・加、APT29 による攻撃報告 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/31879.png)
![測定器メーカーならではのセキュリティとは(東陽テクニカ)[Security Days Spring 2018]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/23936.jpg)