Plateforme
ruby
Composant
cremefraiche
Corrigé dans
0.6.1
La vulnérabilité CVE-2013-2090 est une injection de commandes critique affectant la gem Creme Fraiche, version inférieure à 0.6.1. Un attaquant peut exploiter cette faille pour exécuter des commandes arbitraires sur le système en manipulant le nom de fichier d'une pièce jointe d'email. La mise à jour vers la version 0.6.1 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est sévère. Un attaquant peut potentiellement prendre le contrôle total du système en exécutant des commandes arbitraires avec les privilèges de l'utilisateur exécutant l'application Ruby utilisant Creme Fraiche. Cela peut conduire à la compromission des données sensibles, à l'installation de logiciels malveillants, ou à l'utilisation du système comme point de pivot pour attaquer d'autres systèmes sur le réseau. La vulnérabilité se situe dans la fonction setmetadata, qui ne filtre pas correctement les caractères spéciaux dans le nom de fichier, permettant ainsi l'injection de commandes.
Cette vulnérabilité a été publiée en 2017, mais elle reste pertinente en raison de la présence de systèmes hérités utilisant des versions obsolètes de Creme Fraiche. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la gravité de la vulnérabilité justifie une attention particulière. Aucun PoC public n'est connu à ce jour, mais la nature de l'injection de commandes rend l'exploitation relativement simple.
Ruby applications that rely on the Creme Fraiche gem for metadata extraction, particularly those that process email attachments without proper input validation, are at significant risk. Shared hosting environments where multiple applications share the same Ruby environment are also vulnerable, as a compromise of one application could potentially affect others.
• ruby / server:
find / -name "cremefraiche.rb" -print• ruby / server:
grep -r "set_meta_data" /path/to/your/ruby/project• generic web:
Inspect email attachments for unusual filenames containing shell metacharacters (e.g., ;, |, &, $).
• generic web:
Review application logs for errors related to file processing or command execution.
discovery
disclosure
Statut de l'Exploit
EPSS
1.44% (percentile 81%)
La mitigation principale consiste à mettre à jour la gem Creme Fraiche vers la version 0.6.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à valider et à nettoyer rigoureusement le nom de fichier des pièces jointes avant de les traiter. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes contenant des caractères spéciaux. Vérifiez après la mise à jour que la fonction setmetadata ne permet plus l'exécution de commandes arbitraires en testant avec des noms de fichiers contenant des caractères spéciaux.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2013-2090 is a critical vulnerability in the Creme Fraiche gem, allowing attackers to execute commands via malicious email attachment filenames before version 0.6.1.
You are affected if your Ruby application uses Creme Fraiche gem versions prior to 0.6.1 and processes email attachments.
Upgrade the Creme Fraiche gem to version 0.6.1 or later. Implement input validation on attachment filenames as a temporary workaround.
While widespread active exploitation isn't confirmed, the vulnerability's ease of exploitation makes it a persistent risk and a potential target.
Refer to the CVE entry on the National Vulnerability Database (NVD) for more information: https://nvd.nist.gov/vuln/detail/CVE-2013-2090
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.