HIGHCVE-2011-0449CVSS 7.5

actionpack は、意図されたアクセス制限を回避することを許容する

プラットフォーム

ruby

コンポーネント

actionpack

修正版

3.0.4

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2011-0449は、Ruby on Railsのactionpack/lib/action_view/template/resolver.rbに存在するアクセス制限回避の脆弱性です。この脆弱性は、大文字・小文字を区別しないファイルシステム環境下で、攻撃者がアクション名の大文字・小文字の違いを利用して、本来アクセスできないテンプレートにアクセスすることを可能にします。影響を受けるバージョンはRuby on Rails 3.0.x (3.0.4以前) です。バージョン3.0.4へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はRuby on Railsアプリケーションのテンプレートに不正にアクセスし、機密情報を盗み出したり、アプリケーションの動作を改ざんしたりする可能性があります。特に、大文字・小文字を区別しないファイルシステムを使用している環境では、この脆弱性の悪用が容易になります。攻撃者は、アクション名の大文字・小文字を意図的に変更することで、本来アクセスできないテンプレートにアクセスし、不正な操作を実行できる可能性があります。この脆弱性は、Webアプリケーション全体のセキュリティを脅かす重大なリスクとなります。

悪用の状況

CVE-2011-0449は、2017年10月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、大文字・小文字を区別しないファイルシステムを使用している環境では、潜在的なリスクが存在します。公開されているPoCは確認されていませんが、脆弱性の性質上、攻撃者による悪用が懸念されます。CISA KEVへの登録は確認されていません。

リスク対象者翻訳中…

Applications still running older, unpatched versions of Ruby on Rails (3.0.x before 3.0.4) are at significant risk. Shared hosting environments that utilize Ruby on Rails and have not been updated are particularly vulnerable, as they may be running legacy configurations.

検出手順翻訳中…

• ruby / server:

find /path/to/rails/app -name '*.rb' -print0 | xargs -0 grep -i 'actionpack/lib/action_view/template/resolver.rb'

• ruby / server:

journalctl -u puma -g "actionpack/lib/action_view/template/resolver.rb"

• generic web: Check application logs for unusual access patterns or errors related to template resolution.

攻撃タイムライン

2011-07-19Discovery
discovery
2017-10-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

NextGuard10–15% まだ脆弱

EPSS

0.56% (68% パーセンタイル)

影響を受けるソフトウェア

コンポーネントactionpack

ベンダーosv

影響範囲修正版

3.0.03.0.4

タイムライン

公開日2017-10-24
更新日2024-11-29
EPSS 更新日2026-04-02

公開後-2449日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、Ruby on Railsをバージョン3.0.4以上にアップデートすることを強く推奨します。もしアップデートが困難な場合は、大文字・小文字を区別するファイルシステムに変更することを検討してください。また、WAF（Web Application Firewall）を導入し、不正なアクセスパターンを検知・遮断することも有効な対策となります。ファイルシステム変更が難しい場合は、アプリケーションのアクセス制御ロジックを強化し、意図しないアクセスを防止する対策を講じてください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2011-0449 — アクセス制限回避の脆弱性 in Ruby on Railsとは何ですか？

CVE-2011-0449は、Ruby on Rails 3.0.x (3.0.4以前) における、大文字・小文字を区別しないファイルシステム環境下で、アクション名の大文字・小文字の違いを利用してアクセス制限を回避する脆弱性です。

CVE-2011-0449 in Ruby on Railsに影響を受けますか？

Ruby on Railsのバージョンが3.0.4以前の場合は、影響を受けます。バージョン3.0.4以上にアップデートすることで、この脆弱性を解消できます。

CVE-2011-0449 in Ruby on Railsを修正するにはどうすればよいですか？

Ruby on Railsをバージョン3.0.4以上にアップデートしてください。もしアップデートが難しい場合は、大文字・小文字を区別するファイルシステムに変更することを検討してください。

CVE-2011-0449は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、潜在的なリスクが存在します。

CVE-2011-0449に関するRuby on Railsの公式アドバイザリはどこで入手できますか？

Ruby on Railsの公式アドバイザリは、Ruby on Railsのセキュリティ情報ページで確認できます。