Plateforme
ruby
Composant
paperclip
Corrigé dans
5.2.0
La vulnérabilité CVE-2017-0889 concerne une faille de type Server-Side Request Forgery (SSRF) présente dans la gem Paperclip, affectant les versions 3.1.4 et ultérieures jusqu'à la version 5.1.0. Cette faille, située dans la classe Paperclip::UriAdapter, permet à un attaquant d'accéder à des informations concernant les ressources du réseau interne. La version 5.2.0 corrige cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité SSRF peut potentiellement accéder à des ressources internes qui ne sont pas accessibles depuis l'extérieur du réseau. Cela peut inclure des informations sensibles stockées sur des serveurs internes, des métadonnées de services cloud, ou même des informations d'identification. L'attaquant pourrait ainsi cartographier le réseau interne, identifier des points d'entrée supplémentaires, et potentiellement compromettre d'autres systèmes. Bien que la description ne mentionne pas d'exploitation active, la nature critique de la vulnérabilité SSRF et sa facilité d'exploitation la rendent potentiellement dangereuse.
La vulnérabilité CVE-2017-0889 a été rendue publique le 22 janvier 2018. Bien qu'il n'y ait pas de mention d'exploitation active dans les sources disponibles, la nature critique de la vulnérabilité SSRF et la disponibilité de la gem Paperclip dans de nombreux projets Ruby la rendent potentiellement attractive pour les attaquants. Il n'est pas listée sur KEV à ce jour.
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
Statut de l'Exploit
EPSS
0.34% (percentile 57%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la gem Paperclip vers la version 5.2.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé de mettre en place des restrictions réseau pour limiter l'accès aux ressources internes depuis l'application. Des règles de pare-feu ou de proxy peuvent être configurées pour bloquer les requêtes vers des adresses IP internes. Il est également possible de désactiver temporairement la fonctionnalité Paperclip::UriAdapter si elle n'est pas essentielle à l'application, bien que cela puisse impacter la fonctionnalité de l'application.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-0889 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Paperclip Ruby gem, allowing attackers to access internal network resources.
Yes, if you are using Paperclip versions 3.1.4 through 5.1.0, you are vulnerable to this SSRF vulnerability.
Upgrade to Paperclip version 5.2.0 or later to resolve the SSRF vulnerability. Implement URL validation as a temporary workaround.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making this a potential risk.
Refer to the Paperclip project's GitHub repository and related security advisories for more information: https://github.com/thoughtbot/paperclip
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.