製品・ソフトウェアに関する情報

JVN脆弱性詳細

Ruby on Rails の implicit-render の実装におけるディレクトリトラバーサルの脆弱性

Title	Ruby on Rails の implicit-render の実装におけるディレクトリトラバーサルの脆弱性
Summary	Ruby on Rails の implicit-render の実装の actionpack/lib/abstract_controller/base.rb には、特定の route globbing の設定が有効な場合、ディレクトリトラバーサルの脆弱性が存在します。
Possible impacts	第三者により、巧妙に細工されたリクエストを介して、任意のファイルを読まれる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 6, 2014, midnight
Registration Date	May 8, 2014, 4:50 p.m.
Last Update	Aug. 10, 2015, 11:33 a.m.

Affected System

Ruby on Rails project

Rails 3.2.18 未満

Rails 4.0.5 未満の 4.0.x

Rails 4.1.1 未満の 4.1.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-0130	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0130
National Vulnerability Database (NVD)
2	CVE-2014-0130	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0130

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
Google Groups
1	[oss-security] [CVE-2014-0130] Directory Traversal Vulnerability With Certain Route Configurations	https://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJ
Red Hat Security Advisory
2	RHSA-2014:1863	https://rhn.redhat.com/errata/RHSA-2014-1863.html

Change Log

No	Changed Details	Date of change
0	[2014年05月08日] 掲載 [2015年08月10日] ベンダ情報：レッドハット (RHSA-2014:1863) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2014-0130

Summary	Directory traversal vulnerability in actionpack/lib/abstract_controller/base.rb in the implicit-render implementation in Ruby on Rails before 3.2.18, 4.0.x before 4.0.5, and 4.1.x before 4.1.1, when certain route globbing configurations are enabled, allows remote attackers to read arbitrary files via a crafted request.
Summary	Vulnerabilidad de salto de directorio en actionpack/lib/abstract_controller/base.rb en la implementación implicit-render en Ruby on Rails anterior a 3.2.18, 4.0.x anterior a 4.0.5 y 4.1.x anterior a 4.1.1, cuando ciertas configuraciones de coincidencia de patrones en rutas basadas en caracteres comodín (globbing) están habilitadas, permite a atacantes remotos leer archivos arbitrarios a través de una solicitud manipulada.
Publication Date	May 7, 2014, 7:55 p.m.
Registration Date	Jan. 26, 2021, 3:04 p.m.
Last Update	April 22, 2026, 5:07 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:redhat:subscription_asset_manager::::::::		1.3.0
cpe:2.3:o:redhat:enterprise_linux_server:6.0:::::::*
cpe:2.3:a:rubyonrails:rails::::::::				3.2.18
cpe:2.3:a:rubyonrails:rails::::::::	4.0.0			4.0.5
cpe:2.3:a:rubyonrails:rails::::::::	4.1.0			4.1.1

Related information, measures and tools

No	URL	refsource
1	http://matasano.com/research/AnatomyOfRailsVuln-CVE-2014-0130.pdf	secalert@redhat.com
2	http://rhn.redhat.com/errata/RHSA-2014-1863.html	secalert@redhat.com
3	http://www.securityfocus.com/bid/67244	secalert@redhat.com
4	https://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJ	secalert@redhat.com
5	http://matasano.com/research/AnatomyOfRailsVuln-CVE-2014-0130.pdf	af854a3a-2127-422b-91ae-364da2661108
6	http://rhn.redhat.com/errata/RHSA-2014-1863.html	af854a3a-2127-422b-91ae-364da2661108
7	http://www.securityfocus.com/bid/67244	af854a3a-2127-422b-91ae-364da2661108
8	https://groups.google.com/forum/message/raw?msg=rubyonrails-security/NkKc7vTW70o/NxW_PDBSG3AJ	af854a3a-2127-422b-91ae-364da2661108
9	https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2014-0130	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html