CISA 发布Ruby on Rails 框架中路径遍历漏洞的严重警告

CISA最近发布了有关 Ruby on Rails 框架中路径遍历漏洞的严重警告，该漏洞对全球的 Web 应用程序构成重大风险。 该漏洞为 CVE-2019-5418（7.5），影响Rails的 Action View 组件，使攻击者能够利用特制的接受标头与渲染文件结合使用：调用来访问目标服务器上的任意文件。专家建议受影响的组织应该对任何文件渲染操作实施严格的输入验证，并避免使用带有用户控制参数的渲染文件。