漏洞信息 概述 CVE ID: CVE-2025-24293 GHSA ID: GHSA-r4mg-4433-c7g3 Severity: Critical (9.2/10) 漏洞详情 Package: activestorage (RubyGems) Affected versions: - >= 8.0, = 7.2, = 5.2.0, < 7.1.5.2 Patched versions: - 8.0.2.1 - 7.2.2.2 - 7.1.5.2 描述 Active Storage默认尝试防止使用潜在不安全的图像转换方法和参数。 默认允许列表包含三种方法,允许绕过安全默认设置,当任意用户输入被接受为有效的转换方法或参数时,可能会导致潜在的命令注入漏洞。 影响 此漏洞影响使用Active Storage与image_processing处理gem以及mini_magick作为图像处理器的应用程序。 漏洞代码示例: 其中转换方法或其参数是从不受信任的任意输入。 解决方案 所有运行受影响版本的用户应立即升级或使用以下变通方法之一: - 对用户提供的图像转换方法及其参数进行严格的验证。 - 部署强大的ImageMagick安全策略。 参考 GHSA-r4mg-4433-c7g3 rails/rails@1b1adf6 rails/rails@2d61273 rails/rails@fb8f3a1 ``` 这些关键信息可以帮助安全团队理解漏洞的影响并进行适当的修复。