Plataforma
ruby
Componente
activestorage
Corrigido em
8.1.1
8.0.1
7.2.4
8.1.2.1
A vulnerabilidade CVE-2026-33195 afeta o Active Storage, um componente do Ruby on Rails, permitindo um ataque de Path Traversal. Essa falha permite que um atacante acesse, modifique ou exclua arquivos arbitrários no servidor. Versões afetadas incluem aquelas menores ou iguais a 8.1.2; a correção está disponível na versão 8.1.2.1.
A principal consequência da vulnerabilidade é a possibilidade de um atacante obter acesso não autorizado a dados sensíveis armazenados no servidor. Ao explorar a falha de Path Traversal, um invasor pode manipular o caminho do arquivo acessado pelo Active Storage, utilizando sequências como ../ para sair do diretório raiz de armazenamento e acessar arquivos fora do escopo pretendido. Isso pode levar à exposição de informações confidenciais, modificação de arquivos críticos do sistema ou até mesmo à execução de código malicioso, dependendo das permissões do usuário sob o qual o Active Storage está sendo executado. A vulnerabilidade é particularmente perigosa em aplicações que aceitam chaves de blob fornecidas pelo usuário, pois estas podem ser manipuladas para acessar arquivos não autorizados.
A vulnerabilidade foi descoberta e reportada de forma responsável por um pesquisador do Hackerone, [ksw9722](https://hackerone.com/ksw). Não há informações disponíveis sobre exploração ativa em campanhas em larga escala no momento da publicação. A ausência de um score EPSS indica uma probabilidade de exploração considerada baixa a média. O CVE foi publicado em 2026-03-23.
Applications built with Ruby on Rails that utilize Active Storage and accept user-provided data as blob keys are at significant risk. This includes e-commerce platforms allowing users to upload images, content management systems with user-generated content, and any application where user input is directly incorporated into Active Storage blob keys without proper sanitization.
• ruby / server:
find /path/to/rails/app/models -name '*.rb' -print0 | xargs -0 grep -i 'DiskService#path_for'• ruby / server:
journalctl -u puma -g 'ActiveStorage::DiskService#path_for' | grep '../'• generic web:
curl -I 'https://example.com/active_storage/blobs/some_malicious_key../sensitive_file' disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
A mitigação primária é a atualização para a versão 8.1.2.1 ou superior do Active Storage, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, é crucial implementar medidas de segurança adicionais. Uma abordagem é validar e sanitizar rigorosamente as chaves de blob fornecidas pelo usuário, garantindo que não contenham sequências de Path Traversal. Outra medida é restringir as permissões do usuário sob o qual o Active Storage está sendo executado, limitando o acesso a arquivos e diretórios sensíveis. Considere também a implementação de regras em um Web Application Firewall (WAF) para bloquear requisições que contenham sequências suspeitas de Path Traversal. Verifique, após a atualização, se o acesso aos arquivos está restrito ao diretório de armazenamento esperado.
Actualice Active Storage a la versión 8.1.2.1, 8.0.4.1 o 7.2.3.1, o superior, según corresponda a su versión de Rails. Esto corrige la vulnerabilidad de path traversal en DiskService.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33195 is a Path Traversal vulnerability in Ruby on Rails Active Storage versions 8.1.2 and earlier, allowing attackers to potentially read, write, or delete arbitrary files.
You are affected if you are using Ruby on Rails Active Storage version 8.1.2 or earlier. Upgrade to 8.1.2.1 or later to mitigate the risk.
Upgrade to Ruby on Rails Active Storage version 8.1.2.1 or later. As a temporary workaround, validate blob keys to prevent path traversal sequences.
As of the public disclosure date, there is no evidence of active exploitation in the wild.
Refer to the official Ruby on Rails security advisories for detailed information and updates: [https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/rails/rails/security/advisories/GHSA-xxxx-xxxx-xxxx)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.