halflife https://blog.hatena.ne.jp/halflife/ Halflife https://halflife.hatenadiary.org/ Ruby Rails 報告して修正もしてもらえたのでメモ。 以前 穴があると言ったプラグインは attachment_fu です。READMEに書いてあるような mass assignment @attachable_file = AttachmentMetadataModel.new(params[:attachable]) を行っている場合、プラグインやサーバの設定にもよりますが最悪 Rails が動いているサーバ上のあらゆるファイルを攻撃者に読み取られてしまいます。とりあえず、 @attachable_file = AttachmentMetadataModel.new @attachable_file.up… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fhalflife.hatenadiary.org%2Fentry%2F20081008%2F1223469938" title=" attachment_fu プラグインの脆弱性っぽいものについて - Halflife" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2008-10-08 21:45:38 rich https://halflife.hatenadiary.org/entry/20081008/1223469938 1.0 100%