Plateforme
ruby
Composant
sprout
La vulnérabilité CVE-2013-6421 concerne une injection de commandes dans la fonction unpack_zip du gem Sprout pour Ruby. Cette faille permet à un attaquant de potentiellement exécuter des commandes arbitraires sur le système en exploitant des métacaractères dans les noms de fichiers ZIP. Elle affecte les versions du gem Sprout inférieures ou égales à 0.7.246. Une mise à jour vers une version corrigée est recommandée.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant d'exécuter des commandes arbitraires sur le serveur hébergeant l'application Ruby utilisant le gem Sprout. Un attaquant pourrait, par exemple, télécharger un fichier ZIP malveillant contenant des métacaractères, puis exploiter la fonction unpack_zip pour exécuter des commandes système. Cela pourrait conduire à la compromission complète du serveur, à la vol de données sensibles, ou à l'installation de logiciels malveillants. La surface d'attaque est large, car toute application Ruby utilisant le gem Sprout et traitant des fichiers ZIP est potentiellement vulnérable. Cette vulnérabilité rappelle les risques liés à la manipulation non sécurisée de données provenant de sources externes.
Cette vulnérabilité a été publiée en 2017, mais son exploitation active n'est pas largement documentée. Elle n'est pas répertoriée sur le KEV de CISA. Des preuves de concept publiques sont disponibles, ce qui indique un risque potentiel d'exploitation, bien que le risque soit considéré comme modéré en raison de l'âge de la vulnérabilité et de la nécessité d'une manipulation spécifique des fichiers ZIP. La date de publication de la CVE est le 24 octobre 2017.
Applications and services utilizing the Sprout gem, particularly those handling user-uploaded files or processing zip archives from untrusted sources, are at significant risk. Ruby applications deployed on older operating systems or with outdated gem dependencies are also more vulnerable. Shared hosting environments where multiple applications share the same Ruby environment are particularly susceptible, as a compromise in one application could potentially affect others.
• ruby / server:
grep -r 'unpack_zip' /path/to/ruby/gems/sprout-*/archive_unpacker.rb• ruby / server:
find /path/to/ruby/gems/ -name 'archive_unpacker.rb' -mtime +30• ruby / server:
ps aux | grep sproutdiscovery
disclosure
Statut de l'Exploit
EPSS
1.23% (percentile 79%)
La mitigation principale consiste à mettre à jour le gem Sprout vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Il est crucial de valider et de nettoyer rigoureusement tous les noms de fichiers ZIP avant de les décompresser. L'utilisation d'une liste blanche de caractères autorisés dans les noms de fichiers peut aider à prévenir l'injection de métacaractères. Envisagez également de désactiver temporairement la fonction unpack_zip si elle n'est pas essentielle. Pour la détection, surveillez les processus suspects exécutés après la décompression de fichiers ZIP. Après la mise à jour, vérifiez l'intégrité du gem Sprout en utilisant un outil de gestion des dépendances.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2013-6421 is a command injection vulnerability affecting versions of the Sprout gem (≤0.7.246) where shell metacharacters in filenames/paths during zip unpacking can lead to arbitrary command execution.
You are affected if your application uses Sprout gem version 0.7.246 or earlier. Check your gemfile and run gem list sprout to determine your version.
Upgrade the Sprout gem to a patched version. A specific fixed version is not provided, so consult the Sprout gem project for the latest secure release.
While there's no confirmed active exploitation, the vulnerability's age and potential for RCE suggest it remains a risk, especially in unpatched systems.
Consult the Sprout gem project's website or repository for advisories and release notes related to CVE-2013-6421.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.