# CVE-2026-33195 - Ruby on Rails Active Storage Path Traversal (CVSS 9.8) > **CRÍTICO | CVSS 9.8 | Patch disponível** - Path traversal no Active Storage DiskService do [[Ruby on Rails]] permite leitura, escrita e deleção de arquivos arbitrários. Relacionado ao [[cve-2026-33202|CVE-2026-33202]]. ## Visão Geral ```mermaid graph TB A["🔍 CVE-2026-33195 · CVSS 9.8<br/>Rails Active Storage - Path Traversal"] --> B["🎯 Identificar App Rails<br/>Active Storage com DiskService<br/>versão vulnerável"] B --> C["💥 Requisição com Path Traversal<br/>DiskService#path_for<br/>payload ../../../etc/passwd"] C --> D["🔧 Leitura de Arquivos Arbitrários<br/>Credentials, secrets, chaves<br/>fora do diretório storage"] D --> E["🔧 Escrita/Deleção de Arquivos<br/>Sobrescrever arquivos críticos<br/>implantar web shell"] E --> F["💀 RCE via Web Shell<br/>Controle total do servidor<br/>exfiltração de dados"] classDef critical fill:#c92a2a,stroke:#c92a2a,color:#fff classDef exploit fill:#e67700,stroke:#e67700,color:#fff classDef postexploit fill:#495057,stroke:#343a40,color:#fff classDef impact fill:#1864ab,stroke:#1864ab,color:#fff class A critical class B,C exploit class D,E postexploit class F impact ``` **CVE-2026-33195** é uma vulnerabilidade crítica de path traversal no componente `DiskService#path_for` do [[Ruby on Rails]] Active Storage. A falha permite que atacantes autenticados (ou em certas configurações, não autenticados) naveguem fora do diretório de armazenamento configurado e acessem, modifiquem ou deletem arquivos arbitrários do sistema de arquivos do servidor. | Campo | Detalhe | |-------|---------| | **Produto** | Ruby on Rails - Active Storage (DiskService) | | **Versões afetadas** | < 7.2.3.1; 8.0.0 – 8.0.4.0; 8.1.0 – 8.1.2.0 | | **Versões corrigidas** | 7.2.3.1, 8.0.4.1, 8.1.2.1 | | **CVSS v3.1** | 9.8 (CRITICAL) | | **CWE** | CWE-22 (Path Traversal) | | **Patch** | ✅ Disponível - atualizar imediatamente | | **CVE relacionado** | [[cve-2026-33202\|CVE-2026-33202]] - mesmo componente, glob metacaracteres | ## Impacto A exploração permite ao atacante: - **Leitura de arquivos arbitrários** - acesso a arquivos de configuração, segredos, credenciais - **Escrita de arquivos arbitrários** - sobrescrita de arquivos de sistema ou criação de backdoors - **Deleção de arquivos arbitrários** - destruição de dados ou arquivos de configuração críticos - Escalada para RCE em cenários onde arquivos de configuração podem ser sobrescritos ## Relevância LATAM Ruby on Rails é amplamente adotado por **startups e scaleups** na América Latina, especialmente em Brasil, Argentina, Colômbia e Chile. Plataformas de fintech, e-commerce e SaaS construídas em Rails e que usam Active Storage com DiskService estão expostas. ## Mitigação ```bash # Atualizar Rails para versão corrigida bundle update rails # Verificar versão atual bundle exec rails --version # Versões seguras: # Rails 7.x: >= 7.2.3.1 # Rails 8.0.x: >= 8.0.4.1 # Rails 8.1.x: >= 8.1.2.1 ``` **Mitigação alternativa temporária**: Migrar de DiskService para serviço de armazenamento em nuvem (S3, GCS, Azure) que não é afetado por esta vulnerabilidade. ## Detecção Monitorar requisições HTTP com `..` em paths relacionados ao Active Storage: ``` GET /rails/active_storage/disk/../../etc/passwd ``` Revisar logs de aplicação para tentativas de traversal. Usar [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] como indicador de enumeração pós-exploração. ## Referências - NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-33195 - GitHub Security Advisory: https://github.com/rails/rails/security/advisories/ ## Contexto no Vault - [[cve-2026-33202|CVE-2026-33202]] - CVE irmão no mesmo componente (glob metacaracteres) - [[_vulnerabilities]] - índice geral de vulnerabilidades - [[t1190-exploit-public-facing-application]] - técnica de exploração de aplicações web - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - técnica pós-exploração de enumeração de arquivos - [[_defenses]] - controles de mitigação aplicáveis