Plateforme
ruby
Composant
aescrypt
Corrigé dans
1.0.1
La vulnérabilité CVE-2013-7463 affecte la gem aescrypt pour Ruby, spécifiquement les versions inférieures ou égales à 1.0.0. Elle réside dans l'absence de randomisation de l'IV (Initialization Vector) utilisé dans les fonctions de chiffrement AESCrypt.encrypt et AESCrypt.decrypt, ouvrant la porte à des attaques par texte clair choisi, compromettant la confidentialité des données chiffrées. Une mise à jour vers une version corrigée est recommandée.
Cette faille permet à un attaquant de réaliser une attaque par texte clair choisi. En manipulant le texte clair, l'attaquant peut déduire la clé de chiffrement utilisée par aescrypt. Cela compromet la confidentialité de toutes les données chiffrées avec cette gem, car l'attaquant peut alors déchiffrer ces données sans autorisation. Le risque est particulièrement élevé si aescrypt est utilisé pour protéger des informations sensibles telles que des mots de passe, des clés API ou des données personnelles. Bien qu'il n'y ait pas de rapports d'exploitation publique directe liés à cette vulnérabilité, le principe d'attaque par texte clair choisi est bien connu et peut être exploité avec une connaissance modérée du fonctionnement interne d'AESCrypt.
Cette vulnérabilité a été rendue publique en 2017, bien qu'elle ait été découverte initialement en 2013. Elle n'est pas répertoriée sur KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme faible à moyenne, car elle nécessite une connaissance approfondie du fonctionnement interne d'AESCrypt et une capacité à manipuler le texte clair. Il n'existe pas de preuves publiques d'exploitation active à grande échelle, mais le risque persiste tant que des systèmes vulnérables restent en production.
Applications and systems that rely on the aescrypt Ruby gem for encryption, particularly those using versions 1.0.0 or earlier, are at risk. This includes older Ruby on Rails applications and any custom Ruby scripts that utilize the gem for data protection. Shared hosting environments where multiple applications might be using the gem are also at increased risk.
• ruby / gem: Check gemfile.lock for aescrypt versions <= 1.0.0. Use gem list aescrypt to identify installed versions.
gem list aescrypt | grep '1.0.0'• ruby / application code: Search code for calls to AESCrypt.encrypt and AESCrypt.decrypt.
• generic / log analysis: Monitor application logs for unusual encryption/decryption patterns or errors related to the aescrypt gem.
discovery
disclosure
Statut de l'Exploit
EPSS
0.30% (percentile 53%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la gem aescrypt vers une version corrigée. Malheureusement, aucune version corrigée n'a été officiellement publiée. En attendant une mise à jour, des mesures de contournement peuvent être envisagées, bien qu'elles ne soient pas totalement fiables. Il est fortement recommandé d'éviter d'utiliser aescrypt pour le chiffrement de données sensibles jusqu'à ce qu'une version corrigée soit disponible. Si l'utilisation d'aescrypt est inévitable, envisagez de générer aléatoirement l'IV manuellement avant de l'utiliser avec les fonctions de chiffrement. Surveillez les annonces de sécurité de la communauté Ruby et du projet aescrypt pour d'éventuelles mises à jour.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2013-7463 is a high-severity vulnerability in the aescrypt Ruby gem where the CBC IV is not randomized, allowing attackers to perform chosen plaintext attacks and potentially recover sensitive data.
You are affected if your application uses the aescrypt Ruby gem version 1.0.0 or earlier. Carefully review your gemfile.lock and application code.
Upgrade to a patched version of the aescrypt gem is the recommended fix. However, no official patch was released. Replace the gem with a more secure alternative for encryption.
While no active campaigns are known, the vulnerability's potential for chosen plaintext attacks makes it a significant concern, especially in legacy systems.
There is no official advisory from the aescrypt project. Refer to the NVD entry (https://nvd.nist.gov/vuln/detail/CVE-2013-7463) for more information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.