Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans Ruby on Rails

juillet 2025

Résumé

Le 7 juillet 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Ruby on Rails, un framework très utilisé pour créer des applications web.

Référencée sous CVE-2019-5418, cette vulnérabilité permet à un attaquant distant d’exploiter une faiblesse dans le composant Action View. En envoyant des en-têtes HTTP « Accept » spécialement conçus, combinés à l’utilisation de la fonction render file: dans une application Rails, un attaquant peut forcer le serveur à afficher le contenu de fichiers arbitraires, compromettant ainsi la confidentialité des données stockées sur le serveur.

Solutions

Il est recommandé de mettre à jour vers la dernière version de Ruby on Rails corrigée ou d’appliquer les correctifs fournis par l’éditeur.

La faille est activement exploitée : Oui

Details techniques

Score CVSS : 7.5

Risques :  Divulgation de contenu de fichiers sensibles via une faille de traversée de chemin (path traversal)

Systèmes affectés

Ruby on Rails versions antérieures à 5.2.2.1, 5.1.6.2, 5.0.7.2, 4.2.11.1 et la version 3.x

Documentation

Référence
https://web.archive.org/web/20190313201629/https://weblog.rubyonrails.org/2019/3/13/Rails-4-2-5-1-5-1-6-2-have-been-released/

Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2019-5418

CVE Details
https://www.cvedetails.com/cve/CVE-2019-5418/

Reference CVE
https://www.cve.org/CVERecord?id=CVE-2019-5418

CWE
https://www.cvedetails.com/cwe-details/22/Improper-Limitation-of-a-Pathname-to-a-Restricted-Directory-.html

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires