Plateforme
ruby
Composant
activestorage
Corrigé dans
8.1.1
8.0.1
7.2.4
8.1.2.1
La vulnérabilité CVE-2026-33195 est une faille de traversal de chemin (Path Traversal) dans le composant Active Storage de Ruby on Rails. Cette faille permet à un attaquant de lire, écrire ou supprimer des fichiers arbitraires sur le serveur si la clé du blob contient des séquences de traversal de chemin (par exemple, ../). Les versions affectées sont celles inférieures ou égales à 8.1.2, et une correction est disponible dans la version 8.1.2.1.
L'impact de cette vulnérabilité est significatif car elle permet un accès non autorisé au système de fichiers du serveur. Un attaquant peut exploiter cette faille en manipulant la clé du blob pour accéder à des fichiers sensibles, tels que des fichiers de configuration, des données utilisateur ou même des fichiers système. Cela pourrait conduire à la compromission complète du serveur et à la divulgation d'informations confidentielles. La vulnérabilité est particulièrement préoccupante si des données fournies par l'utilisateur sont utilisées comme clés de blob sans validation appropriée, ce qui rend l'application vulnérable à l'injection de séquences de traversal de chemin.
La vulnérabilité a été signalée par un chercheur Hackerone, [ksw9722](https://hackerone.com/ksw). Bien qu'il n'y ait pas de preuve d'exploitation active à ce jour, la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable. La publication de la vulnérabilité le 2026-03-23 signifie qu'elle est désormais publique et accessible aux attaquants. Il est recommandé de prendre des mesures immédiates pour atténuer le risque.
Applications built with Ruby on Rails that utilize Active Storage and accept user-provided data as blob keys are at significant risk. This includes e-commerce platforms allowing users to upload images, content management systems with user-generated content, and any application where user input is directly incorporated into Active Storage blob keys without proper sanitization.
• ruby / server:
find /path/to/rails/app/models -name '*.rb' -print0 | xargs -0 grep -i 'DiskService#path_for'• ruby / server:
journalctl -u puma -g 'ActiveStorage::DiskService#path_for' | grep '../'• generic web:
curl -I 'https://example.com/active_storage/blobs/some_malicious_key../sensitive_file' disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
La mitigation principale consiste à mettre à jour Active Storage vers la version 8.1.2.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible d'appliquer des mesures d'atténuation temporaires. Il est crucial de valider rigoureusement toutes les clés de blob pour s'assurer qu'elles ne contiennent pas de séquences de traversal de chemin. L'utilisation d'une liste blanche de caractères autorisés ou la suppression des séquences ../ peut aider à prévenir l'exploitation. De plus, la configuration d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez que la validation des clés de blob est correctement implémentée en testant avec des clés contenant des séquences de traversal de chemin.
Actualice Active Storage a la versión 8.1.2.1, 8.0.4.1 o 7.2.3.1, o superior, según corresponda a su versión de Rails. Esto corrige la vulnerabilidad de path traversal en DiskService.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33195 is a Path Traversal vulnerability in Ruby on Rails Active Storage versions 8.1.2 and earlier, allowing attackers to potentially read, write, or delete arbitrary files.
You are affected if you are using Ruby on Rails Active Storage version 8.1.2 or earlier. Upgrade to 8.1.2.1 or later to mitigate the risk.
Upgrade to Ruby on Rails Active Storage version 8.1.2.1 or later. As a temporary workaround, validate blob keys to prevent path traversal sequences.
As of the public disclosure date, there is no evidence of active exploitation in the wild.
Refer to the official Ruby on Rails security advisories for detailed information and updates: [https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.