Plateforme
ruby
Composant
recurly
Corrigé dans
2.3.10
La vulnérabilité CVE-2017-0905 est une faille de type Server-Side Request Forgery (SSRF) affectant la bibliothèque Recurly Client Ruby. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, potentiellement compromettant des clés API et d'autres informations critiques. Les versions concernées sont celles inférieures ou égales à 2.3.9. Une correction est disponible dans la version 2.3.10.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'effectuer des requêtes vers des ressources internes ou externes auxquelles le serveur n'aurait normalement pas accès. Dans le contexte de la bibliothèque Recurly Client Ruby, cela peut se traduire par la compromission de clés API utilisées pour accéder aux services Recurly. Un attaquant pourrait ainsi accéder à des informations sensibles sur les abonnements, les paiements et les clients. De plus, la capacité d'effectuer des requêtes arbitraires peut permettre à un attaquant de scanner le réseau interne à la recherche d'autres vulnérabilités ou de lancer des attaques contre d'autres systèmes. Cette vulnérabilité présente un risque élevé en raison de la criticité des données potentiellement compromises et de la facilité d'exploitation.
La vulnérabilité CVE-2017-0905 a été rendue publique le 6 décembre 2017. Bien qu'il n'y ait pas de preuves publiques d'exploitation active à grande échelle, la nature critique de la vulnérabilité et la facilité d'exploitation la rendent potentiellement attrayante pour les attaquants. Il n'est pas listée sur le KEV de CISA à ce jour. Des preuves de concept (PoC) peuvent être disponibles en ligne, ce qui augmente le risque d'exploitation.
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
Statut de l'Exploit
EPSS
0.52% (percentile 67%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque Recurly Client Ruby vers la version 2.3.10 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation temporaires peuvent être mises en place. Il est recommandé de restreindre l'accès réseau du serveur exécutant la bibliothèque Recurly Client Ruby, en utilisant des règles de pare-feu pour bloquer les requêtes vers des adresses IP ou des domaines non approuvés. De plus, une validation stricte des entrées utilisateur est essentielle pour empêcher l'injection de requêtes malveillantes. L'utilisation d'un proxy inverse ou d'un Web Application Firewall (WAF) peut également aider à filtrer les requêtes suspectes. Après la mise à jour, vérifiez la configuration de la bibliothèque Recurly Client Ruby pour vous assurer qu'elle est correctement sécurisée.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-0905 is a critical Server-Side Request Forgery vulnerability in the Recurly Client Ruby Library, allowing attackers to potentially access internal resources and compromise API keys.
You are affected if your Ruby application uses the Recurly Client Ruby Library version 2.3.9 or earlier. Upgrade to version 2.3.10 or later to mitigate the risk.
Upgrade the Recurly Client Ruby Library to version 2.3.10 or later. If upgrading is not possible immediately, implement input validation and restrict network access.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making proactive mitigation essential.
Refer to the Recurly security advisory for detailed information and updates: https://www.recurly.com/security/advisories/recurly-client-ssrf/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.