Herokuの製品セキュリティチーム、Etienne Stalmans氏による報告：

RubyにバンドルされているNet :: FTPにコマンドインジェクションの脆弱性があります。

Net::FTP#get、getbinaryfile、gettextfile、put、putbinaryfile、puttextfileは、Kernel#openを使用してローカルファイルを開きます。localfile引数がパイプ文字「|」で始まる場合、パイプ文字に続くコマンドが実行されます。localfileのデフォルト値はFile.basename（remotefile）であるため、悪意のあるFTPサーバーが任意のコマンドを実行する可能性があります。

検出

FreeBSD： ruby -- Net::FTPでのコマンドインジェクションの脆弱性（dd644964-e10e-11e7-8097-0800271d4b9c）

high Nessus プラグイン ID 105363

バージョン 3.7