# CVE-2026-33202 - Ruby on Rails Active Storage Glob Metachar Deletion (CVSS 9.1) > **CRÍTICO | CVSS 9.1 | Patch disponível** - Metacaracteres glob não escapados no `DiskService#delete_prefixed` do [[Ruby on Rails]] Active Storage permitem deleção não intencional de arquivos. CVE irmão do [[cve-2026-33195|CVE-2026-33195]]. ## Visão Geral **CVE-2026-33202** é uma vulnerabilidade crítica no método `DiskService#delete_prefixed` do [[Ruby on Rails]] Active Storage. Metacaracteres glob (`*`, `?`, `[`, `]`) não são escapados adequadamente ao construir o padrão de deleção de arquivos, permitindo que um atacante construa um prefixo malicioso que resulte em deleção de arquivos fora do diretório esperado ou de forma mais ampla do que o pretendido. | Campo | Detalhe | |-------|---------| | **Produto** | Ruby on Rails - Active Storage (DiskService) | | **Versões afetadas** | < 7.2.3.1; 8.0.0 – 8.0.4.0; 8.1.0 – 8.1.2.0 | | **Versões corrigidas** | 7.2.3.1, 8.0.4.1, 8.1.2.1 | | **CVSS v3.1** | 9.1 (CRITICAL) | | **CWE** | CWE-20 (Improper Input Validation) / CWE-22 (Path Traversal) | | **Patch** | ✅ Disponível - atualizar imediatamente | | **CVE relacionado** | [[cve-2026-33195\|CVE-2026-33195]] - path traversal no mesmo componente | ## Impacto - **Deleção não intencional de arquivos** em massa via glob expansion - **Destruição de dados** - risco de perda permanente de arquivos de aplicação ou sistema - Risco de **negação de serviço (DoS)** pela deleção de arquivos críticos da aplicação - Em cenários de aplicação multi-tenant, possível deleção de dados de outros usuários ## Mitigação Aplicar o mesmo patch que o [[cve-2026-33195|CVE-2026-33195]] - as versões corrigidas (7.2.3.1, 8.0.4.1, 8.1.2.1) resolvem ambos os CVEs. ```bash # Atualizar Rails bundle update rails bundle exec rails --version # Confirmar versão >= 7.2.3.1 / 8.0.4.1 / 8.1.2.1 ``` ## Referências - NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-33202 - CVE irmão: [[cve-2026-33195|CVE-2026-33195]] ## Contexto no Vault - [[cve-2026-33195|CVE-2026-33195]] - CVE irmão no mesmo componente (path traversal) - [[_vulnerabilities]] - índice de vulnerabilidades críticas - [[t1485-data-destruction|T1485 - Data Destruction]] - técnica MITRE para destruição de dados - [[t1190-exploit-public-facing-application]] - exploração de aplicações web - [[_defenses]] - hub defensivo com controles aplicáveis