CVE-2022-32224（Railsの脆弱性）を試す

CVE-2022-32224（Railsの脆弱性）を試す
CRANK

前回の記事は割と濃い味付けでしたが、今回は薄味です。脆弱性自体は簡単なやつなのですが、調べている過程でRuby 3.1からYAMLのパースが安全になったことを知ったのでその共有がてら書きました。最近はあまりRubyを触る機会がなかったのでリハビリを兼ねて触っているところもあり、間違いがあれば教えて下さい。要約背景 RubyのYAML.load Railsのデシリアライゼーションを試す準備クラスの復元任意コード実行まとめ要約 Rubyの YAML.load （正確には Psych.load ）をユーザ入力など信頼できない値に対して実行するのは危険でした。 Do not use Y…

knqyf263.hatenablog.com 2 years ago

Open page

https://knqyf263.hatenablog.com/entry/2022/07/21/192352