VDB
DEBIAN-CVE-2019-5418
DEBIAN-CVE-2019-5418
PUBLISHED
CVSS 7.5 HIGH
There is a File Content Disclosure vulnerability in Action View <5.2.2.1, <5.1.6.2, <5.0.7.2, <4.2.11.1 and v3 where specially crafted accept headers can cause contents of arbitrary files on the target system's filesystem to be exposed.
Risk Scores
CVSS 3.1
7.5
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| Debian:12 | rails | 0, 0, 0 |
| Debian:11 | rails | 0, 0, 0 |
| Debian:13 | rails | 0, 0, 0 |
| Debian:14 | rails | 0, 0, 0 |
Exploit Intelligence
- CVE-2019-5418 - File Content Disclosure on Ruby on Rails (github-poc-repo)
- Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架,构建在 Ruby 语言之上。这个漏洞主要是由于Ruby on Rails使用了指定参数的render file来渲染应用之外的视图,我们可以通过修改访问某控制器的请求包,通过“…/…/…/…/”来达到路径穿越的目的,然后再通过“{{”来进行模板查询路径的闭合,使得所要访问的文件被当做外部模板来解析。 (github-poc-repo)
- RCE on Rails 5.2.2 using a path traversal (CVE-2019-5418) and a deserialization of Ruby objects (CVE-2019-5420) (github-poc-repo)
- Rails 3 PoC of CVE-2019-5418 (github-poc-repo)
- WHS 3기 장대혁 취약한(CVE) Docker 환경 구성 과제입니다. (github-poc-repo)
- 【懒人神器】一款图形化、批量采集url、批量对采集的url进行各种nday检测的工具。可用于src挖掘、cnvd挖掘、0day利用、打造自己的武器库等场景。可以批量利用Actively Exploited Atlassian Confluence 0Day CVE-2022-26134和DedeCMS v5.7.87 SQL注入 CVE-2022-23337。 (github-poc-repo)
- WHS 3기 장대혁 취약한(CVE) Docker 환경 구성 과제입니다. (github-poc)
- Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架,构建在 Ruby 语言之上。这个漏洞主要是由于Ruby on Rails使用了指定参数的render file来渲染应用之外的视图,我们可以通过修改访问某控制器的请求包,通过“…/…/…/…/”来达到路径穿越的目的,然后再通过“{{”来进行模板查询路径的闭合,使得所要访问的文件被当做外部模板来解析。 (github-poc)
- random-robbie/CVE-2019-5418 (github-poc)
- melardev/CVE-2019-5418 (github-poc)
…and 29 more exploits
Timeline
- Mar 27, 2019 CVE Published
- Apr 28, 2026 CVE Updated