漏洞标题
N/A
漏洞描述信息
Ruby在2.4.3之前允许Net::FTP命令注入。Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile和puttextfile使用Kernel#open打开本地文件。如果本地文件参数以"|"管道字符开始,则执行管道后面的命令。本地文件的默认值是File.basename(remotefile),因此恶意FTP服务器可能导致任意命令执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Ruby before 2.4.3 allows Net::FTP command injection. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile, and puttextfile use Kernel#open to open a local file. If the localfile argument starts with the "|" pipe character, the command following the pipe character is executed. The default value of localfile is File.basename(remotefile), so malicious FTP servers could cause arbitrary command execution.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ruby Net::FTP 命令注入漏洞
漏洞描述信息
Ruby是日本软件开发者松本行弘所研发的一种跨平台、面向对象的动态类型编程语言。Net::FTP是其中的一个FTP客户端的实现。 Ruby 2.4.3之前的版本中的Net::FTP存在命令注入漏洞。攻击者可借助恶意的FTP服务器利用该漏洞执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题