Plataforma
ruby
Componente
passenger
Corregido en
4.0.60
La vulnerabilidad CVE-2015-7519 afecta a Phusion Passenger, un servidor de aplicaciones Ruby. Esta falla permite a atacantes remotos falsificar encabezados HTTP enviados a las aplicaciones, especialmente cuando Passenger se utiliza en modo de integración con Apache o en modo independiente sin un proxy de filtrado. Las versiones afectadas son aquellas anteriores a 4.0.60 y las versiones 5.0.x anteriores a 5.0.22. La solución es actualizar a la versión 4.0.60 o superior.
Un atacante puede explotar esta vulnerabilidad para inyectar encabezados HTTP maliciosos en las solicitudes enviadas a las aplicaciones alojadas por Passenger. Esto podría permitir la manipulación del comportamiento de la aplicación, la evasión de controles de seguridad o incluso la ejecución de código arbitrario, dependiendo de cómo la aplicación maneje los encabezados HTTP. La falsificación de encabezados puede utilizarse para realizar ataques de secuestro de sesión, inyección de scripts entre sitios (XSS) o para alterar la lógica de la aplicación. La vulnerabilidad se aprovecha de una validación incorrecta de los nombres de los encabezados HTTP, permitiendo el uso del carácter guión bajo (_) en lugar del guión (-).
Esta vulnerabilidad fue publicada en 2018, aunque la vulnerabilidad original data de 2015. No se ha reportado su inclusión en el KEV de CISA. No existen públicamente pruebas de concepto (PoCs) ampliamente disponibles, lo que sugiere un riesgo de explotación relativamente bajo, aunque la facilidad de explotación podría cambiar. La vulnerabilidad se basa en una lógica de validación de entrada defectuosa, un patrón común en muchas vulnerabilidades web.
Estado del Exploit
EPSS
0.36% (58% percentil)
Vector CVSS
La mitigación principal para CVE-2015-7519 es actualizar a Phusion Passenger versión 4.0.60 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar un proxy de filtrado que valide y limpie los encabezados HTTP antes de que lleguen a la aplicación. También se puede configurar Apache para que rechace solicitudes con caracteres no válidos en los nombres de los encabezados. Para la detección, monitorear los logs de Apache en busca de solicitudes con nombres de encabezados HTTP que contengan caracteres inusuales, como guiones bajos en lugar de guiones. Después de la actualización, verificar la integridad de la instalación de Passenger y confirmar que los encabezados HTTP se validan correctamente.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2015-7519 is a vulnerability in Phusion Passenger allowing attackers to spoof HTTP headers by using underscores instead of dashes, potentially impacting application behavior. It affects versions ≤4.0.8 and 5.0.x before 5.0.22.
You are affected if you are using Phusion Passenger versions less than or equal to 4.0.8 or versions 5.0.x prior to 5.0.22, and are running in Apache integration mode or standalone mode without a filtering proxy.
Upgrade to Phusion Passenger version 4.0.60 or later. As a temporary workaround, deploy a filtering proxy to validate incoming HTTP headers.
There is no public evidence of active exploitation campaigns targeting CVE-2015-7519 at this time.
Refer to the Phusion Passenger security advisory: https://www.phusionpassenger.com/security/CVE-2015-7519
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.