製品・ソフトウェアに関する情報
Vulnerability Search
Ruby の WEBrick におけるディレクトリトラバーサルの脆弱性
Title Ruby の WEBrick におけるディレクトリトラバーサルの脆弱性
Summary

Ruby の WEBrick は、WEBrick::HTTPServlet::FileHandler 機能、WEBrick::HTTPServer.new 機能、および :DocumentRoot オプションに関する不備があるため、ディレクトリトラバーサルの脆弱性が存在します。

Possible impacts 第三者により、以下の末尾の文字を介して、任意の CGI ファイルを読まれる可能性があります。 (1) URI 内の + (プラス) 文字 (2) URI 内の %2b (エンコードされたプラス) 文字 (3) URI 内の . (ドット) 文字 (4) URI 内の %2e (エンコードされたドット) 文字 (5) URI 内の %20 (エンコードされたスペース) 文字
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date April 18, 2008, midnight
Registration Date Dec. 20, 2012, 6:52 p.m.
Last Update Dec. 20, 2012, 6:52 p.m.
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:P/I:N/A:N
Affected System
Ruby-lang.org
Ruby 1.8.4 およびそれ以前、1.8.5-p231 未満の 1.8.5、1.8.6-p230 未満の 1.8.6、1.8.7-p22 未満の 1.8.7、および 1.9.0-2 未満の 1.9.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2008-1891
Summary

Directory traversal vulnerability in WEBrick in Ruby 1.8.4 and earlier, 1.8.5 before 1.8.5-p231, 1.8.6 before 1.8.6-p230, 1.8.7 before 1.8.7-p22, and 1.9.0 before 1.9.0-2, when using NTFS or FAT filesystems, allows remote attackers to read arbitrary CGI files via a trailing (1) + (plus), (2) %2b (encoded plus), (3) . (dot), (4) %2e (encoded dot), or (5) %20 (encoded space) character in the URI, possibly related to the WEBrick::HTTPServlet::FileHandler and WEBrick::HTTPServer.new functionality and the :DocumentRoot option.

Summary

Una vulnerabilidad de salto de directorio en WEBrick en Ruby versión 1.8.4 y anteriores, versión 1.8.5 anterior a 1.8.5-p231, versión 1.8.6 anterior a 1.8.6-p230, versión 1.8.7 anterior a 1.8.7-p22, y versión 1.9.0 anterior a 1.9.0-2, cuando se utilizan sistemas de archivos NTFS o FAT, permite a los atacantes remotos leer archivos CGI arbitrarios por medio de un trailing (1) + (más), (2) %2b (más codificado), (3) . (punto), (4) %2e (punto codificado) o (5) %20 (espacio codificado) en el URI, posiblemente relacionado con la función WEBrick::HTTPServlet::FileHandler y WEBrick::HTTPServer.new y la opción :DocumentRoot.

Publication Date April 19, 2008, 7:05 a.m.
Registration Date Jan. 29, 2021, 1:35 p.m.
Last Update April 23, 2026, 9:35 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* 1.9.0
cpe:2.3:a:ruby-lang:ruby:1.8.5:*:*:*:*:*:*:*
cpe:2.3:a:ruby-lang:ruby:1.8.6:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List