RubyGems Wicked 目录遍历漏洞

漏洞信息详情

RubyGems Wicked 目录遍历漏洞

• CNNVD编号：CNNVD-201310-272
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-4413
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2013-10-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-03-13
  
• 厂        商：
  
  schneems
• 漏洞来源：

RubyGems是RubyGems组织的一款Ruby程序包管理器，它主要用于发布和管理Ruby程序包。Wicked是其中的一个Rails引擎。

Wicked gem for Ruby 1.0.0及之前版本中的controller/concerns/render_redirect.rb文件存在目录遍历漏洞。远程攻击者可借助目录遍历序列（../）利用该漏洞读取任意文件。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://rubygems.org/gems/wicked

来源: github.com

链接:https://github.com/schneems/wicked/commit/fe31bb2533fffc9d098c69ebeb7afc3b80509f53

来源: XF

名称: wicked-gem-cve20134413-dir-trav(87783)

链接:http://xforce.iss.net/xforce/xfdb/87783

来源: BID

名称: 62891

链接:http://www.securityfocus.com/bid/62891

来源: SECUNIA

名称: 55151

链接:http://secunia.com/advisories/55151

来源: MLIST

名称: [oss-security] 20131009 Re: Vulnerability Reported in my Ruby Gem

链接:http://seclists.org/oss-sec/2013/q4/43