CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44837

MediumCVSS 5.9
Published: Updated: Translated: NVD NIST

Summary

view_component to framework do budowania wielokrotnego użytku, testowalnych i enkapsulowanych komponentów widoków w Ruby on Rails. W wersjach od 3.0.0 do 4.9.0, punkt wejścia testu systemowego kanonizuje ścieżkę pliku kontrolowaną przez użytkownika za pomocą File.realpath, a następnie sprawdza, czy rozwiązana ścieżka zaczyna się od ścieżki katalogu tymczasowego. To nie jest bezpieczna kontrola zawartości, ponieważ katalogi sąsiednie mogą dzielić ten sam prefiks ciągu.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do plików w systemie, co stwarza ryzyko ujawnienia wrażliwych danych lub manipulacji plikami przez atakującego.

Recommendation

Zaleca się aktualizację frameworka view_component do wersji 4.9.0 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

view_component is a framework for building reusable, testable, and encapsulated view components in Ruby on Rails. From 3.0.0 to 4.9.0, the system test entrypoint canonicalizes a user-controlled file path with File.realpath, then checks whether the resolved path starts with the temp directory path. This is not a safe containment check because sibling directories can share the same string prefix. This vulnerability is fixed in 4.9.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS