はじめに 先日、HASHコンサルティング株式会社の徳丸浩氏のブログにて CVE-2016-2098 の解説記事が公開されました。 Ruby on Railsの潜在的なリモートスクリプトインジェクション脆弱性CVE-2016-2098 記事の元になったのは GitHub で公開された CVE-2016-2098 の PoC です。 GitHub - hderms/dh-CVE_2016_2098: Proof of concept showing how CVE-2016-2098 leads to remote code execution この PoC(dh-CVE_2016_2098) には不可解な点が見受けられました。(現在質問中、未回答) dh-CVE_2016_2098 と CVE-2016-2098 に関して調査を行い、以下の結論に至りました。 dh-CVE_2016_2098
![Ruby on Rails 脆弱性解説 - CVE-2016-2098](https://cdn-ak-scissors.b.st-hatena.com/image/square/e0ba1dbd31c47b77072f7fe895dd7f178f97f299/height=288;version=1;width=512/https%3A%2F%2Fio.cyberdefense.jp%2Fimg%2Fdarkmatter_ogp.png)