Ruby目录遍历漏洞(CVE-2021-28966)
发布时间 2021-04-070x00 漏洞概述
CVE ID | CVE-2021-28966 | 时 间 | 2021-04-07 |
类 型 | 目录遍历 | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
PoC/EXP | 未公开 | 在野利用 |
0x01 漏洞详情
Ruby是一种简单的、面向对象的程序设计脚本语言。
2021年04月05日,Ruby官方发布安全公告,公开了Windows上与Ruby捆绑在一起的tmpdir库中的一个目录遍历漏洞(CVE-2021-28966)。
tmpdir库引入的Dir.mktmpdir方法将第一个参数作为创建的目录的前缀和后缀,并且前缀可以包含相对的目录指定符”..\\”,由于该方法可用于定位任何目录,因此攻击者可通过利用此漏洞进行目录遍历,并且如果脚本接受外部输入作为前缀,且Ruby进程具有较高的权限时,攻击者可以在任何目录中创建目录或文件。
影响范围
Ruby <= 2.7.2
Ruby = 3.0.0
0x02 处置建议
目前该漏洞已经修复,建议及时更新至最新版本。
下载链接:
https://www.ruby-lang.org/en/news/2021/04/05/ruby-3-0-1-released/
0x03 参考链接
https://www.ruby-lang.org/en/news/2021/04/05/tempfile-path-traversal-on-windows-cve-2021-28966/
https://www.ruby-lang.org/en/news/2021/04/05/ruby-2-7-3-released/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28965
0x04 时间线
2021-04-05 Ruby发布安全公告
2021-04-07 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/