发布日期：2019-07-09
更新日期：2019-07-10

受影响系统：

Ruby on Rails Ruby on Rails 6.0.0.Beta1
Ruby on Rails Ruby on Rails 5.2.1.1
Ruby on Rails Ruby on Rails 5.2.1
Ruby on Rails Ruby on Rails 5.2

不受影响系统：

Ruby on Rails Ruby on Rails 6.0.0.Beta3
Ruby on Rails Ruby on Rails 5.2.2.1

描述：

---

BUGTRAQ  ID: 107427
CVE(CAN) ID: CVE-2019-5420

Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。
Ruby on Rails中存在远程代码执行漏洞，该漏洞源于5.2.2.1和6.0.0.beta3版本之前的Rails在开发模式下允许攻击者猜测自动生成的开发模式密钥令牌。该密钥令牌可与Rails的其他内部凭证一起使用导致远程代码执行攻击。远程攻击者可利用该漏洞在受影响的系统上执行任意代码。

<*来源：ooooooo_q
  *>

建议：

---

厂商补丁：

Ruby on Rails
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.rubyonrails.com/

浏览次数：2617
严重程度：0（网友投票）