Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Active Storage では、ユーザーが Rails アプリケーションでクラウドファイルやローカルファイルを添付することが可能です。バージョン 8.1.2.1、 8.0.4.1、および 7.2.3.1より前では、「DirectUploadsController」がクライアントから任意のメタデータを受け入れ、それを blob に保持します。「identified」や「analyzed」などの内部フラグが同じメタデータハッシュに保存されるため、ダイレクトアップロードクライアントがこれらのフラグを設定して MIME の検出および分析をスキップする可能性があります。これにより、攻撃者は安全な「content_type」を宣言しながら、Active Storage の自動コンテンツタイプ識別に依存する検証をバイパスして、任意のコンテンツをアップロードすることができます。バージョン 8.1.2.1、8.0.4.1、7.2.3.1 にはパッチが含まれています。(CVE-2026-33173)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-33173

medium Nessus プラグイン ID 303648

バージョン 1.3