Plateforme
ruby
Composant
passenger
Corrigé dans
4.0.60
La vulnérabilité CVE-2015-7519 affecte Phusion Passenger, une interface web pour les applications Ruby. Elle permet à un attaquant distant de falsifier des en-têtes HTTP transmis aux applications, contournant potentiellement les mécanismes de sécurité. Cette faille se manifeste dans les versions antérieures à 4.0.60 et dans les versions 5.0.x antérieures à 5.0.22, en particulier lors de l'utilisation en mode intégration Apache ou en mode autonome sans proxy de filtrage. Une correction est disponible dans la version 4.0.60.
Cette vulnérabilité permet à un attaquant de manipuler les en-têtes HTTP envoyés à l'application web hébergée par Phusion Passenger. En remplaçant les tirets (-) par des underscores (_) dans les noms d'en-têtes, l'attaquant peut potentiellement contourner les validations et injecter des en-têtes malveillants. Cela pourrait conduire à diverses attaques, telles que la modification du comportement de l'application, l'élévation de privilèges ou l'exécution de code arbitraire, en fonction de la manière dont l'application traite les en-têtes HTTP. Bien que la CVSS soit classée comme faible, l'impact potentiel dépend de la sensibilité de l'application et de la configuration de l'environnement.
Cette vulnérabilité a été publiée en 2018, mais il n'y a pas d'indications d'une exploitation active à grande échelle. Aucun PoC public n'est largement diffusé. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Bien que la CVSS soit faible, la possibilité de contourner les validations d'en-têtes HTTP mérite une attention particulière, surtout dans les environnements où la sécurité des en-têtes est cruciale.
Statut de l'Exploit
EPSS
0.36% (percentile 58%)
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Phusion Passenger vers la version 4.0.60 ou ultérieure. Si la mise à niveau n'est pas immédiatement possible, l'utilisation d'un proxy de filtrage devant Passenger peut aider à atténuer le risque en validant et en nettoyant les en-têtes HTTP entrants. Il est également recommandé de configurer Apache pour qu'il valide rigoureusement les en-têtes HTTP et de désactiver les fonctionnalités inutiles. En cas de configuration Apache, assurez-vous que la directive Header always set ne permet pas l'ajout d'en-têtes non autorisés. Après la mise à niveau, vérifiez la configuration de Passenger et assurez-vous que les en-têtes HTTP sont correctement validés.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2015-7519 is a vulnerability in Phusion Passenger allowing attackers to spoof HTTP headers by using underscores instead of dashes, potentially impacting application behavior. It affects versions ≤4.0.8 and 5.0.x before 5.0.22.
You are affected if you are using Phusion Passenger versions less than or equal to 4.0.8 or versions 5.0.x prior to 5.0.22, and are running in Apache integration mode or standalone mode without a filtering proxy.
Upgrade to Phusion Passenger version 4.0.60 or later. As a temporary workaround, deploy a filtering proxy to validate incoming HTTP headers.
There is no public evidence of active exploitation campaigns targeting CVE-2015-7519 at this time.
Refer to the Phusion Passenger security advisory: https://www.phusionpassenger.com/security/CVE-2015-7519
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.