Tempfile
ライブラリ
class Tempfile
Tmpdir
をつかって作成された一時ディレクトリにファイルを作成する
ObjectSpace.define_finalizer
により、ファイルのオブジェクト開放時にファイルを自動でunlinkする
https://github.com/ruby/tempfile/blob/v0.1.3/lib/tempfile.rb#L158
Tempfile.createの場合は自動削除されない
https://docs.ruby-lang.org/ja/latest/method/Tempfile/s/create.html
事例
事例:CVE-2018-6914: Tempfile および Tmpdir でのディレクトリトラバーサルを伴う意図しないファイルまたはディレクトリ作成の脆弱性について
事例:CVE-2021-28966: Windows 版 Tempfile 内のパストラバーサルについて