Ruby on Rails の Action Pack のパラメータ解析の脆弱性により任意のRubyコードを実行される脆弱性(CVE-2013-0156)に関する検証レポート Tweet 2013/01/24 NTTデータ先端技術株式会社 辻 伸弘 小松 徹也 【概要】 Ruby on Railsに、リモートより任意のコードを実行される脆弱性が発見されました。 この脆弱性は、パラメータ解析におけるYAMLおよびシンボル変換の不備に起因します。この脆弱性を悪用して、攻撃者はターゲットホスト上にて、奪取したユーザ権限で任意のRubyコードの実行が可能です。 今回、このRuby on RailsのAction Packのパラメータ解析の脆弱性により、任意のRubyコードを実行される脆弱性(CVE-2013-0156)の再現性について検証を行いました。 検証環境には、HTTPリクエストを処理す