Plataforma
ruby
Componente
recurly
Corregido en
2.3.10
La vulnerabilidad CVE-2017-0905 es una falla de tipo Server-Side Request Forgery (SSRF) presente en la biblioteca cliente Recurly para Ruby. Esta vulnerabilidad permite a un atacante realizar solicitudes a recursos internos del servidor, lo que podría resultar en la exposición o compromiso de claves API y otros recursos críticos. Afecta a versiones de Recurly Client Ruby Library menores o iguales a 2.3.9. La solución recomendada es actualizar a la versión 2.3.10 o superior.
Un atacante que explote esta vulnerabilidad podría realizar solicitudes a cualquier URL accesible desde el servidor donde se ejecuta la aplicación que utiliza la biblioteca Recurly Client. Esto incluye, pero no se limita a, servicios internos, bases de datos y otros recursos que normalmente no son accesibles desde el exterior. El impacto más grave sería la exposición de claves API de Recurly, lo que permitiría al atacante acceder y manipular cuentas de usuario, realizar cargos fraudulentos y obtener información confidencial. La vulnerabilidad se encuentra en el método Resource#find, donde la validación de la URL es insuficiente, permitiendo la inclusión de esquemas no deseados. Esta falla podría ser explotada para leer archivos sensibles en el servidor o interactuar con otros servicios internos sin la debida autorización.
CVE-2017-0905 fue publicado el 6 de diciembre de 2017. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente exploits activos, pero la naturaleza de la vulnerabilidad SSRF la hace susceptible a ser explotada. La disponibilidad de un exploit público podría aumentar significativamente el riesgo de explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
Estado del Exploit
EPSS
0.52% (67% percentil)
Vector CVSS
La mitigación principal para CVE-2017-0905 es actualizar la biblioteca Recurly Client Ruby Library a la versión 2.3.10 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URL utilizadas en el método Resource#find. Esto puede incluir una lista blanca de dominios permitidos o una comprobación para asegurar que la URL comienza con un esquema HTTP o HTTPS esperado. Además, es recomendable revisar y fortalecer las políticas de seguridad de la aplicación para limitar el acceso a recursos internos y proteger las claves API. Después de la actualización, confirme la mitigación revisando los logs del servidor para detectar intentos de solicitudes sospechosas.
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2017-0905 is a critical Server-Side Request Forgery vulnerability in the Recurly Client Ruby Library, allowing attackers to potentially access internal resources and compromise API keys.
You are affected if your Ruby application uses the Recurly Client Ruby Library version 2.3.9 or earlier. Upgrade to version 2.3.10 or later to mitigate the risk.
Upgrade the Recurly Client Ruby Library to version 2.3.10 or later. If upgrading is not possible immediately, implement input validation and restrict network access.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making proactive mitigation essential.
Refer to the Recurly security advisory for detailed information and updates: https://www.recurly.com/security/advisories/recurly-client-ssrf/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.