Ruby on Rails の JSON のパラメータ解析の脆弱性により任意のコードを実行される脆弱性(CVE-2013-0333)に関する検証レポートRuby on Rails の JSON のパラメータ解析の脆弱性により任意のコードを実行される脆弱性(CVE-2013-0333)に関する検証レポート Tweet 2013/02/01 NTTデータ先端技術株式会社 辻 伸弘 小松 徹也 【概要】 Ruby on Railsに、リモートより任意のコードを実行される脆弱性が発見されました。 この脆弱性は、JavaScript Object Notation(JSON)パラメータ解析におけるJSONからYAMLへの変換不備に起因します。この脆弱性を悪用して、攻撃者はターゲットホスト上にて、Webサーバの動作権限で任意のコードの実行が可能です。 今回、このRuby on RailsのJSONのパラメータ解析の脆弱性により任意のコードを実行される脆弱性(CVE-2013-0333)の再現性について検証を行いました。 検証環境には、HTTPリク
Ruby on Rails - JSON Processor YAML Deserialization Code Execution (Metasploit)
JSONとYAML | PerlでWeb APIを使いたおす | Think IT(シンクイット)
