Plataforma
ruby
Componente
activestorage
Corregido en
8.1.1
8.0.1
7.2.4
8.1.2.1
La vulnerabilidad CVE-2026-33195 es un fallo de recorrido de ruta (Path Traversal) descubierto en Active Storage, un componente de Ruby on Rails. Este fallo permite a un atacante acceder, modificar o eliminar archivos arbitrarios en el servidor si se utilizan claves de blob maliciosas que contengan secuencias de recorrido de ruta como ../. La vulnerabilidad afecta a versiones de Active Storage menores o iguales a 8.1.2, y se ha publicado una corrección en la versión 8.1.2.1.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante el control sobre el sistema de archivos del servidor. Un atacante podría, por ejemplo, leer archivos de configuración confidenciales, modificar archivos del sistema, o incluso eliminar datos críticos. La posibilidad de acceso no autorizado a archivos sensibles podría resultar en la exposición de información personal, credenciales de acceso, o código fuente. La gravedad del impacto aumenta si la aplicación utiliza Active Storage para almacenar archivos subidos por los usuarios, ya que un atacante podría manipular las claves de blob para acceder a archivos que no le pertenecen. Este tipo de vulnerabilidad, aunque no directamente comparable a Log4Shell, comparte la característica de permitir el acceso no autorizado a recursos del sistema a través de la manipulación de entradas.
La vulnerabilidad fue reportada de forma responsable por el investigador de Hackerone [ksw9722]. Actualmente, no se dispone de información sobre campañas de explotación activas o la existencia de un Proof of Concept (PoC) público. La vulnerabilidad ha sido publicada en el NVD (National Vulnerability Database) el 2026-03-23. La evaluación de la probabilidad de explotación es moderada, dado que la vulnerabilidad requiere la manipulación de claves de blob, lo que podría no ser trivial para todos los atacantes.
Applications built with Ruby on Rails that utilize Active Storage and accept user-provided data as blob keys are at significant risk. This includes e-commerce platforms allowing users to upload images, content management systems with user-generated content, and any application where user input is directly incorporated into Active Storage blob keys without proper sanitization.
• ruby / server:
find /path/to/rails/app/models -name '*.rb' -print0 | xargs -0 grep -i 'DiskService#path_for'• ruby / server:
journalctl -u puma -g 'ActiveStorage::DiskService#path_for' | grep '../'• generic web:
curl -I 'https://example.com/active_storage/blobs/some_malicious_key../sensitive_file' disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
La mitigación principal es actualizar Active Storage a la versión 8.1.2.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la última versión no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es validar y sanitizar rigurosamente todas las claves de blob antes de utilizarlas en la función DiskService#path_for. Esto implica eliminar o escapar cualquier secuencia de recorrido de ruta (como ../) que pueda estar presente en la clave. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en las claves de blob. Finalmente, se recomienda revisar los permisos de acceso a los directorios de almacenamiento de Active Storage para asegurar que solo los usuarios autorizados tengan acceso de escritura.
Actualice Active Storage a la versión 8.1.2.1, 8.0.4.1 o 7.2.3.1, o superior, según corresponda a su versión de Rails. Esto corrige la vulnerabilidad de path traversal en DiskService.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33195 is a Path Traversal vulnerability in Ruby on Rails Active Storage versions 8.1.2 and earlier, allowing attackers to potentially read, write, or delete arbitrary files.
You are affected if you are using Ruby on Rails Active Storage version 8.1.2 or earlier. Upgrade to 8.1.2.1 or later to mitigate the risk.
Upgrade to Ruby on Rails Active Storage version 8.1.2.1 or later. As a temporary workaround, validate blob keys to prevent path traversal sequences.
As of the public disclosure date, there is no evidence of active exploitation in the wild.
Refer to the official Ruby on Rails security advisories for detailed information and updates: [https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.