Plataforma
ruby
Componente
paperclip
Corregido en
5.2.0
La vulnerabilidad CVE-2017-0889 afecta a la gema Paperclip para Ruby, específicamente a las versiones 3.1.4 y anteriores hasta la 5.1.0. Esta vulnerabilidad de Server-Side Request Forgery (SSRF) en la clase Paperclip::UriAdapter permite a los atacantes realizar solicitudes a recursos internos de la red, potencialmente exponiendo información sensible. La solución recomendada es actualizar a la versión 5.2.0.
Un atacante que explote esta vulnerabilidad puede enviar solicitudes a través del servidor a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir la lectura de archivos de configuración, el acceso a bases de datos internas o la interacción con otros servicios en la red interna. El impacto potencial es significativo, ya que permite el descubrimiento y posible compromiso de sistemas internos. La gema Paperclip es ampliamente utilizada en aplicaciones Ruby on Rails, lo que amplía la superficie de ataque.
Esta vulnerabilidad fue publicada el 22 de enero de 2018. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de SSRF la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad se encuentra en el repositorio de la NVD. La probabilidad de explotación se considera media debido a la amplia adopción de Paperclip y la relativa facilidad de explotación.
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
Estado del Exploit
EPSS
0.34% (57% percentil)
Vector CVSS
La mitigación principal es actualizar la gema Paperclip a la versión 5.2.0 o superior, que corrige la vulnerabilidad SSRF. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la red desde donde se ejecuta la aplicación Ruby on Rails. Implementar una lista blanca de dominios permitidos para las solicitudes realizadas por Paperclip puede ayudar a limitar el alcance de la vulnerabilidad. Verifique que la configuración de Paperclip no permita el acceso a protocolos no seguros como file://. Después de la actualización, confirme que la gema Paperclip está en la versión correcta utilizando gem list paperclip.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-0889 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Paperclip Ruby gem, allowing attackers to access internal network resources.
Yes, if you are using Paperclip versions 3.1.4 through 5.1.0, you are vulnerable to this SSRF vulnerability.
Upgrade to Paperclip version 5.2.0 or later to resolve the SSRF vulnerability. Implement URL validation as a temporary workaround.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making this a potential risk.
Refer to the Paperclip project's GitHub repository and related security advisories for more information: https://github.com/thoughtbot/paperclip
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.