Awọn idasilẹ atunṣe ti ede siseto Ruby ti jẹ ipilẹṣẹ , и , eyi ti o wa titi mẹrin vulnerabilities. Ailagbara ti o lewu julọ (CVE-2019-16255) ninu ile-ikawe boṣewa (lib/shell.rb), eyi ti ṣe koodu fidipo. Ti data ti o gba lati ọdọ olumulo ba ni ilọsiwaju ni ariyanjiyan akọkọ ti Shell#[] tabi awọn ọna idanwo Shell# ti a lo lati ṣayẹwo wiwa faili kan, ikọlu le ṣaṣeyọri ipe ti ọna Ruby lainidii.
Awọn iṣoro miiran:
- - ifihan si olupin http ti a ṣe sinu ikọlu pipin idahun HTTP (ti eto kan ba fi data ti a ko rii daju sinu akọsori esi HTTP, lẹhinna akọsori le pin nipasẹ fifi ohun kikọ tuntun sii);
- fidipo ohun kikọ asan (\0) sinu awọn ti a ṣayẹwo nipasẹ awọn ọna “File.fnmatch” ati “File.fnmatch?”. Awọn ọna faili le ṣee lo lati ṣe okunfa ayẹwo;
- - kiko ti iṣẹ ni Diges ìfàṣẹsí module fun WEBrick.
orisun: opennet.ru