Katalog CVE

CVE-2026-49342

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

YARD to narzędzie do generowania dokumentacji dla języka Ruby. W wersjach przed 0.9.44, statyczne wyszukiwanie w pamięci podręcznej YARD odczytuje ścieżkę żądania przed oczyszczeniem ścieżki przez router, co może prowadzić do ujawnienia plików HTML poza zamierzonym drzewem statycznym.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie poufnych informacji, jeśli serwer jest skonfigurowany z dokumentem głównym, co może prowadzić do nieautoryzowanego dostępu do plików.

Rekomendacja

Zaleca się aktualizację YARD do wersji 0.9.44 lub nowszej, aby załatać tę podatność.

Oryginalny opis (angielski, źródło NVD)

YARD is a documentation generation tool for the Ruby programming language. Prior to version 0.9.44, YARD's static cache lookup reads a request path before the router's path cleanup runs. When a server is configured with a document root, a traversal path such as `/../yard-cache-secret.html` is joined against that root and can return a readable sibling `.html` file outside the intended static tree. Version 0.9.44 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS