阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
高危漏洞
应用程序
CVE-2020-8163
低危
Rails < 5.0.1 local names 远程代码执行漏洞
CVE编号
CVE-2020-8163
利用情况
POC 已公开
补丁情况
官方补丁
披露时间
2020-07-03
漏洞描述
Ruby on Rails是Rails团队的一套基于Ruby语言的开源Web应用框架。 Ruby on Rails 5.0.1之前版本中存在代码注入漏洞。远程攻击者可利用该漏洞执行代码。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/rails/rails/commit/b395acf4673045c03fc7845b5103b801f0a5950d
参考链接
http://packetstormsecurity.com/files/158604/Ruby-On-Rails-5.0.1-Remote-Code-E...
https://groups.google.com/g/rubyonrails-security/c/hWuKcHyoKh0
https://hackerone.com/reports/304805
https://lists.debian.org/debian-lts-announce/2020/07/msg00013.html
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
rubyonrails
rails
*
Up to
(excluding)
5.0.1
运行在以下环境
系统
debian_10
rails
*
Up to
(excluding)
5.2.0+dfsg-2
运行在以下环境
系统
debian_11
rails
*
Up to
(excluding)
5.2.0+dfsg-2
运行在以下环境
系统
debian_12
rails
*
Up to
(excluding)
5.2.0+dfsg-2
阿里云评分
3.1
攻击路径
远程
攻击复杂度
容易
权限要求
普通权限
影响范围
有限影响
EXP成熟度
POC 已公开
补丁情况
官方补丁
数据保密性
无影响
数据完整性
无影响
服务器危害
无影响
全网数量
10000
CWE-ID
漏洞类型
CWE-94
对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×
https://github.com/h4ms1k/CVE-2020-8163
https://github.com/lucasallan/CVE-2020-8163
https://github.com/sh286/CVE-2020-8163
https://pentesterlab.com/exercises/cve-2020-8163/course
https://raw.githubusercontent.com/1N3/Sn1per/master/templates/active/CVE-2020-8163_-_Rails_5.0.1_Remote_Code_Execution.sh
https://raw.githubusercontent.com/jaeles-project/jaeles-signatures/master/cves/rails-rce-cve-2020-8163.yaml
https://raw.githubusercontent.com/projectdiscovery/nuclei-templates/master/cves/CVE-2020-8163.yaml
https://www.exploit-db.com/exploits/48716