CVE-2026-49342
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
YARD to narzędzie do generowania dokumentacji dla języka Ruby. W wersjach przed 0.9.44, statyczne wyszukiwanie w pamięci podręcznej YARD odczytuje ścieżkę żądania przed oczyszczeniem ścieżki przez router, co może prowadzić do ujawnienia plików HTML poza zamierzonym drzewem statycznym.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie poufnych informacji, jeśli serwer jest skonfigurowany z dokumentem głównym, co może prowadzić do nieautoryzowanego dostępu do plików.
Rekomendacja
Zaleca się aktualizację YARD do wersji 0.9.44 lub nowszej, aby załatać tę podatność.
Oryginalny opis (angielski, źródło NVD)
YARD is a documentation generation tool for the Ruby programming language. Prior to version 0.9.44, YARD's static cache lookup reads a request path before the router's path cleanup runs. When a server is configured with a document root, a traversal path such as `/../yard-cache-secret.html` is joined against that root and can return a readable sibling `.html` file outside the intended static tree. Version 0.9.44 patches the issue.

