RubyやRubyのOSSの脆弱性を見つけた話の続きの続き

ooooooo_q https://blog.hatena.ne.jp/ooooooo_q/ ooooooo_qの日記 https://ooooooo.hatenablog.com/ 脆弱性この記事はRuby Advent Calendar 2020 - Qiitaの20日目です。一昨年（RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記）と去年（RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記）と同様にRuby関連で今年見つけた脆弱性の話です。 Rails XSS by file (Active Storage Proxying) hackerone.com Rails6.1で導入された機能での脆弱性です。修正されたのが6.1のリリース前だったからかCVEの割当はされていません。Active Storageを使って… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fooooooo.hatenablog.com%2Fentry%2Fruby_bug_hunting_3" title="RubyやRubyのOSSの脆弱性を見つけた話の続きの続き - ooooooo_qの日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/o/ooooooo_q/20201220/20201220121929.png Hatena Blog https://hatena.blog 2020-12-20 00:00:00 RubyやRubyのOSSの脆弱性を見つけた話の続きの続き rich https://ooooooo.hatenablog.com/entry/ruby_bug_hunting_3 1.0 100%