VULHUB ™

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Action Pack是其中的一个用于构建和测试MVC Web应用程序的组件。 Ruby on Rails的Action Pack组件中的actionpack/lib/action_dispatch/middleware/static.rb文件中存在目录遍历漏洞。当程序启用serve_static_assets时，远程攻击者可借助‘/..\\%2F’序列利用该漏洞确定应用程序根目录外文件。以下产品和版本受到影响：Ruby on Rails 3.2.20之前3.x版本，4.0.11之前4.0.x版本，4.1.7之前4.1.x版本，4.2.0.beta3之前4.2.x版本。

Ruby on Rails（Rails）是Rails核心团队开发维护的一套基于Ruby语言的开源Web应用框架，它是由大卫-海纳梅尔-韩森从美国37signals公司的项目管理工具Basecamp里分离出来的。Action Pack是其中的一个用于构建和测试MVC Web应用程序的组件。 Ruby on Rails的Action Pack组件中的actionpack/lib/action_dispatch/middleware/static.rb文件中存在目录遍历漏洞。当程序启用serve_static_assets时，远程攻击者可借助‘/..\\%2F’序列利用该漏洞确定应用程序根目录外文件。以下产品和版本受到影响：Ruby on Rails 3.2.20之前3.x版本，4.0.11之前4.0.x版本，4.1.7之前4.1.x版本，4.2.0.beta3之前4.2.x版本。