В Банк данных угроз безопасности информации (BDU) была внесена запись об уязвимости, которая затронула не только популярный веб-фреймворк Ruby on Rails, но и российскую операционную систему РЕД ОС. Речь идёт о проблеме в библиотеке Active Storage, которая отвечает за подключение облачных и локальных файлов к приложениям Rails. Эта уязвимость получила идентификаторы BDU:2026-07234 и CVE-2026-33195 и уже подтверждена производителем.
Детали уязвимости
Ошибка кроется в механизме, который ограничивает пути к каталогам. Разработчики Active Storage недостаточно строго проверяли, куда именно пользователь может обратиться за файлом. Злоумышленник, действующий удалённо, может манипулировать структурами данных и обойти эти ограничения. На языке специалистов такая атака называется "обход пути" или Path Traversal (уязвимость типа CWE-22). Проще говоря, атакующий может вырваться за пределы разрешённой папки и прочитать любые данные на сервере, к которым у файловой системы есть доступ.
Оценка опасности подтверждает серьёзность угрозы. По старой методике CVSS 2.0 базовая оценка составила 9,4 балла из десяти, что соответствует высокому уровню опасности. Более современная версия CVSS 3.1 дала ещё более тревожную цифру - 9,1 балла, что уже считается критическим уровнем. Вектор атаки сетевой, для её выполнения не нужна аутентификация. Самое неприятное - уязвимость позволяет не только украсть конфиденциальные данные, но и изменить их. Правда, возможность уничтожить информацию отсутствует.
Уязвимыми оказались все версии Active Storage до 6.1.7.6 включительно. Однако это не единственные пострадавшие. В перечень попало программное обеспечение от компании Red Hat Inc., а именно платформа управления API под названием Red Hat 3scale версии 2. Но для российского рынка особенно важно другое. Уязвимость подтверждена в операционной системе РЕД ОС версии 8.0, которая входит в единый реестр российских программ. Разработчик ООО "Ред Софт" уже выпустил патчи, и компаниям настоятельно рекомендуется установить обновления.
Почему эта новость важна прямо сейчас? Дело в том, что Rails Active Storage используется тысячами проектов по всему миру. Это стандартный компонент для работы с файлами в приложениях на Ruby on Rails. Он применяется для загрузки изображений, документов, видео и других данных в облачные хранилища вроде Amazon S3 или на локальный диск сервера. Учитывая, что на Ruby on Rails написано множество CRM-систем, интернет-магазинов и корпоративных порталов, потенциальная поверхность атаки огромна.
Сценарий эксплуатации выглядит следующим образом. Злоумышленник отправляет специально сформированный запрос к серверу, в котором подменяет путь к файлу. Поскольку проверки недостаточно строги, сервер обрабатывает запрос и отдаёт атакующему содержимое любого файла, доступного для чтения. Это могут быть базы данных, ключи шифрования, настройки приложения или персональные данные пользователей. В случае с РЕД ОС ситуация усугубляется тем, что эта система используется в государственных учреждениях и на объектах критической информационной инфраструктуры. Утечка данных из таких организаций может иметь серьёзные последствия для национальной безопасности.
Специалисты по кибербезопасности отмечают, что данная уязвимость относится к классу ошибок кода. Производитель уже выпустил исправления. Для Ruby on Rails актуальные версии, в которых проблема устранена, это 7.2.3.1, 8.0.4.1 и 8.1.2.1. Разработчикам необходимо как можно скорее обновить свои проекты. Для пользователей РЕД ОС есть отдельная страница на официальном сайте "Ред Софт", где можно найти соответствующий патч. Компаниям, использующим Red Hat 3scale, также доступно обновление через портал поддержки Red Hat.
Наличие готового эксплойта пока уточняется, но опыт показывает, что для уязвимостей такого класса публичные коды атак появляются в течение нескольких дней или недель после раскрытия информации. Промедление с установкой заплаток может привести к тому, что компании столкнутся с реальными кибератаками. Рекомендуется не откладывать обновление в долгий ящик.
Подводя итог, можно сказать, что обнаруженная уязвимость затрагивает как глобальную экосистему Ruby on Rails, так и российские продукты, прошедшие сертификацию. Критический уровень опасности в сочетании с лёгкостью удалённой эксплуатации делают эту проблему приоритетной для устранения. Специалистам по информационной безопасности следует проверить версии Active Storage в своих проектах, а также убедиться, что российские системы на базе РЕД ОС получили необходимые обновления. Только своевременная установка патчей позволит избежать утечки конфиденциальных данных и сохранить репутацию компании.
Ссылки
- https://bdu.fstec.ru/vul/2026-07234
- https://www.cve.org/CVERecord?id=CVE-2026-33195
- https://github.com/rails/rails
- https://github.com/rails/rails/commit/4933c1e3b8c1bb04925d60347be9f69270392f2c
- https://github.com/rails/rails/commit/9b06fbc0f504b8afe333f33d19548f3b85fbe655
- https://github.com/rails/rails/commit/a290c8a1ec189d793aa6d7f2570b6a763f675348
- https://github.com/rails/rails/releases/tag/v7.2.3.1
- https://github.com/rails/rails/releases/tag/v8.0.4.1
- https://github.com/rails/rails/releases/tag/v8.1.2.1
- https://github.com/rails/rails/security/advisories/GHSA-9xrj-h377-fr87
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-33195
- https://access.redhat.com/security/cve/cve-2026-33195
