发布日期：2024-02-27
更新日期：2024-03-28

受影响系统：

Rails Active Storage 5.2.0

描述：

---

CVE(CAN) ID: CVE-2024-26144

Active Storage是一款用于将文件上传到多种云存储服务，并将文件附加到Active Record对象的插件。
Rails Active Storage存在信息泄露漏洞，该漏洞源于Active Storage在提供blob时会发送Set-Cookie标头以及用户的会话cookie，并将Cache-Control设置为公开，攻击者可利用该漏洞获取敏感会话信息。

<**>

建议：

---

厂商补丁：

Rails
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
http://www.rubyonrails.com/

浏览次数：296
严重程度：0（网友投票）