Vulnerabilidad en recursos privados en la gema rack-cors para Ruby. (CVE-2019-18978)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
14/11/2019
Última modificación:
21/05/2021
Descripción
Se descubrió un problema en la gema rack-cors (también se conoce como Rack CORS Middleware) versiones anteriores a la versión 1.0.4 para Ruby. Permite que un salto de directorio ../ acceda a recursos privados porque la coincidencia de recursos no garantiza que los nombres de ruta estén en formato canónico.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rack-cors_project:rack-cors:*:*:*:*:*:ruby:*:* | 1.0.4 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/cyu/rack-cors/commit/e4d4fc362a4315808927011cbe5afcfe5486f17d
- https://github.com/cyu/rack-cors/compare/v1.0.3...v1.0.4
- https://lists.debian.org/debian-lts-announce/2020/02/msg00004.html
- https://lists.debian.org/debian-lts-announce/2020/10/msg00000.html
- https://usn.ubuntu.com/4571-1/
- https://www.debian.org/security/2021/dsa-4918