Plateforme
ruby
Composant
redis-store
Corrigé dans
1.4.0
La vulnérabilité CVE-2017-1000248 affecte la bibliothèque redis-store, versions inférieures ou égales à 1.3.0. Elle permet le chargement d'objets non sécurisés depuis Redis, ouvrant la porte à l'exécution de code arbitraire sur le serveur. Une mise à jour vers la version 1.4.0 corrige cette faille. La vulnérabilité a été publiée le 6 décembre 2017.
Cette vulnérabilité est particulièrement critique car elle permet à un attaquant de charger des objets malveillants depuis Redis, qui peuvent ensuite être exécutés sur le serveur. Un attaquant ayant accès à Redis peut exploiter cette faille pour prendre le contrôle complet du serveur, voler des données sensibles ou lancer des attaques contre d'autres systèmes. Le risque est exacerbé si Redis est exposé publiquement ou si les contrôles d'accès sont mal configurés. L'exécution de code à distance (RCE) est possible, ce qui signifie que l'attaquant n'a pas besoin d'authentification préalable.
Cette vulnérabilité est considérée comme critique en raison de sa facilité d'exploitation et de son impact potentiel. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la vulnérabilité a été largement diffusée et un proof-of-concept (PoC) est disponible publiquement. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. La publication de la vulnérabilité a eu lieu le 6 décembre 2017.
Ruby applications that rely on the redis-store gem for data persistence are at risk. This includes web applications, background workers, and any other Ruby processes using Redis as a data store. Specifically, applications with weak Redis access controls or those that do not properly validate data stored in Redis are particularly vulnerable.
• ruby / gem: Check gem versions using gem list redis-store. If the version is ≤1.3.0, the system is vulnerable.
• ruby / application: Review application code for any instances where data is loaded from Redis using redis-store and not properly validated.
• generic web: Monitor Redis logs for unusual activity or attempts to inject data. Look for patterns indicative of malicious payloads.
• database (redis): Use redis-cli to inspect the contents of Redis keys. Look for unexpected or suspicious data structures.
disclosure
Statut de l'Exploit
EPSS
0.46% (percentile 64%)
Vecteur CVSS
La solution principale est de mettre à jour redis-store vers la version 1.4.0 ou supérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès à Redis uniquement aux applications de confiance. Vérifiez également la configuration de Redis pour vous assurer qu'il n'accepte que les connexions provenant de sources autorisées. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des connexions Redis est recommandée. Après la mise à jour, vérifiez l'intégrité de la bibliothèque redis-store en comparant son hachage SHA256 avec celui fourni par le développeur.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-1000248 is a critical vulnerability in redis-store versions up to 1.3.0 that allows attackers to load unsafe objects from Redis, potentially leading to remote code execution.
If you are using redis-store version 1.3.0 or earlier, you are affected by this vulnerability. Check your gem version using gem list redis-store.
Upgrade the redis-store gem to version 1.4.0 or later. If upgrading is not immediately possible, implement stricter input validation and sanitization on data stored in Redis.
While no confirmed active exploitation campaigns have been publicly linked, the vulnerability's severity and potential impact make it a high-priority target.
Refer to the Ruby Security Advisory for details: https://rubysec.com/advisories/CVE-2017-1000248
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.