| ID: | 16477 |
|---|---|
| 标题: | rails 任意文件读取 (CVE-2019-5418) |
| 描述: | rails 任意文件读取 (CVE-2019-5418) vulfocus/rails-cve_2019_5418:new Ruby on Rails 是一个用于开发数据库驱动的网络应用程序的完整框架。 在控制器中通过render file形式来渲染应用之外的视图,且会根据用户传入的Accept头来确定文件具体位置。我们通过传入Accept: ../../../../../../../../etc/passwd{{头来构成构造路径穿越漏洞,读取任意文件。 |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索rails 任意文件读取 (CVE-2019-5418) |