Программа: Ruby 1.8.x
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации на целевой системе.
1) Уязвимость существует из-за ошибки в проверке входных данных, передаваемых через URL приложениям использующим "WEBrick::HTTPServlet::FileHandler" или "WEBrick::HTTPServer.new" с опцией ":DocumentRoot". Атакующий может использовать символы обхода директорий "..%5c..%5c", что позволит получить содержимое произвольных файлов на целевой системе.
Пример:
http://[server]:[port]/..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/boot.ini
2) Уязвимость существует из-за ошибки в классе "WEBrick::HTTPServlet::FileHandler", и в методе "WEBrick::HTTPServer.new" при обработке опции ":NondisclosureName". Атакующий может получить содержимое произвольных файлов на целевой системе, чьи имена соответствуют образцу описанному в опции ":NondisclosureName".
