Rails Active Storage の DiskService に Path Traversal の可能性

この脆弱性は、Active StorageのDiskService#path_forメソッドが、解決されたファイルシステムパスがストレージルートディレクトリ内に留まることを検証していないことに起因します。攻撃者は、パストラバーサルシーケンス（例：../）を含むBlobキーを使用することで、この脆弱性を悪用できます。Blobキーは信頼できる文字列であると想定されていますが、一部のアプリケーションではユーザー入力をキーとして渡しており、それらのアプリケーションが影響を受けます。

攻撃者は、この脆弱性を利用して、機密情報を含むファイルを読み取ったり、重要なシステムファイルを改ざんしたり、さらにはサーバー上で任意のコードを実行したりする可能性があります。この脆弱性の影響範囲は、Active Storageを使用しているアプリケーションの重要性と、ファイルシステムへのアクセス権限によって大きく左右されます。

Applications built with Ruby on Rails that utilize Active Storage and accept user-provided data as blob keys are at significant risk. This includes e-commerce platforms allowing users to upload images, content management systems with user-generated content, and any application where user input is directly incorporated into Active Storage blob keys without proper sanitization.

• ruby / server:

find /path/to/rails/app/models -name '*.rb' -print0 | xargs -0 grep -i 'DiskService#path_for'

• ruby / server:

journalctl -u puma -g 'ActiveStorage::DiskService#path_for' | grep '../'

• generic web:

curl -I 'https://example.com/active_storage/blobs/some_malicious_key../sensitive_file' 

1. 2026-03-23Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-23
3. 更新日2026-03-25
4. EPSS 更新日2026-03-31

この脆弱性への最も効果的な対策は、Ruby on Railsを8.1.2.1以降のバージョンにアップデートすることです。アップデートが利用できない場合、一時的な回避策として、Blobキーの入力を厳密に検証し、パストラバーサルシーケンスが含まれていないことを確認する必要があります。また、WAF（Web Application Firewall）を導入し、パストラバーサル攻撃を検知・防御することも有効です。ファイルシステムのアクセス権限を最小限に抑え、Active Storageがアクセスできるディレクトリを制限することも重要です。

アップデート後、ファイルシステムへのアクセス権限が適切に設定されていることを確認し、Blobキーの入力検証が正しく機能していることをテストしてください。