PT-2022-1849 · Ruby+2 · Ruby On Rails Active Storage+2
Sergey-Alekseev
·
Publicado
2022-03-08
·
Atualizado
2025-09-29
·
CVE-2022-21831
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Ruby on Rails Active Storage, versões 5.2.0 a 5.2.6.2
Ruby on Rails Active Storage, versões 6.0.0 a 6.0.4.6
Versões do Ruby on Rails Active Storage de 6.1.0 a 6.1.4.6
Versões do Ruby on Rails Active Storage de 7.0.0 a 7.0.2.2
Descrição
Existe uma vulnerabilidade de injeção de código no módulo Active Storage do Ruby on Rails, relacionada a erros na geração de código. Isso poderia permitir que um invasor remoto executasse código arbitrário por meio dos argumentos
image processing. A implementação de uma lista de permissões restrita para métodos ou argumentos de transformação aceitos, bem como uma política de segurança rigorosa para o ImageMagick, pode ajudar a mitigar essa vulnerabilidade.Recomendações
Para as versões 5.2.0 a 5.2.6.2, atualize para a versão 5.2.6.3 ou posterior.
Para as versões 6.0.0 a 6.0.4.6, atualize para a versão 6.0.4.7 ou posterior.
Para as versões 6.1.0 a 6.1.4.6, atualize para a versão 6.1.4.7 ou posterior.
Para as versões 7.0.0 a 7.0.2.2, atualize para a versão 7.0.2.3 ou posterior.
Como solução alternativa temporária, considere implementar uma lista de permissões restrita para métodos ou argumentos de transformação aceitos e aplique uma política de segurança rigorosa do ImageMagick para minimizar o risco de exploração.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Ruby On Rails Active Storage