详情:https://groups.google.com/forum/#!topic/rubyonrails-security/pFRKI96Sm8Q
修复已经发布,请各位同学尽快升级吧。。。
关注度太低,置顶几天。
感谢 可能是大家都没用到未指定参数的 render file 吧,可能看了看对自己没影响就不关注了
查了一下,我司代码里(万幸)只有一个地方用到了不指定格式的 render file
render file
如果真的暴露了还是很危险的 一键获取任意文件
另一个帖子 漏洞分析
只有一个废弃的项目用了 render file