公布:Rails框架应用在开发模式易导致远程代码执行漏洞,安全级别为“高危”。
一、漏洞情况
Rails应用的secret_key_base值是Application.name变量MD5值,攻击者通过其它手段获取Rails应用Application.name变量名后自动生成secret_key_base值,导致Rails在开发模式下产生远程代码执行漏洞。
二、影响范围
Rails6.0.0.X、Rails5.2.X。
三、处置建议
(一)Rails框架更新至最新版本;
(二)Rails框架改为生产模式;
(三)Rails框架开发模式下生成固定密钥缓解此问题。在“config/environments/development.rb”文件中添加:config.secret_key_base= SecureRandom.hex(64)。
附件:参考链接
https://hackerone.com/reports/473888
本文暂时没有评论,来添加一个吧(●'◡'●)