Plateforme
ruby
Composant
httparty
Corrigé dans
0.23.3
0.24.0
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans la gem httparty, affectant les versions inférieures ou égales à 0.9.0. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des destinations non intentionnelles, potentiellement exposant des informations sensibles ou permettant l'accès à des ressources internes. La correction est disponible dans la version 0.24.0.
L'exploitation réussie de cette vulnérabilité SSRF peut avoir des conséquences graves. Un attaquant pourrait, par exemple, intercepter des clés API stockées dans des variables d'environnement ou des fichiers de configuration, compromettant ainsi l'accès à des services tiers. De plus, il pourrait utiliser le serveur pour effectuer des requêtes vers des serveurs internes non exposés publiquement, contournant ainsi les mesures de sécurité habituelles. Le risque est exacerbé si l'application utilise httparty pour communiquer avec des services internes sensibles, tels que des bases de données ou des API de gestion. Cette vulnérabilité présente un risque similaire à d'autres failles SSRF, où la confiance dans la validation des URL est mal gérée.
Cette vulnérabilité a été rendue publique le 23 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité SSRF et de la disponibilité d'outils permettant de l'exploiter.
Applications utilizing the httparty Ruby gem in versions 0.9.0 and earlier are at risk. This includes web applications, APIs, and any other Ruby projects that rely on httparty for making HTTP requests. Shared hosting environments where multiple applications share the same Ruby environment are particularly vulnerable, as a compromise of one application could potentially expose the entire environment.
• ruby / server:
grep -r 'require \'httparty\' ' /path/to/your/ruby/projects• ruby / supply-chain:
gem list httparty• generic web:
curl -I <your_application_url>/<potentially_vulnerable_endpoint>
# Check for unexpected internal hostnames in the response headersdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la gem httparty vers la version 0.24.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider rigoureusement les URL fournies par l'utilisateur avant de les utiliser avec httparty. Il est également recommandé de limiter l'accès aux ressources internes et de mettre en place des règles de pare-feu pour empêcher les requêtes sortantes vers des destinations non autorisées. L'utilisation d'un proxy inverse peut également aider à filtrer les requêtes malveillantes. Après la mise à jour, vérifiez la configuration de httparty pour vous assurer que le champ base_uri est correctement utilisé et que les URL externes sont correctement validées.
Mettez à jour la bibliothèque httparty à une version postérieure à la 0.23.2. Cela peut être fait en utilisant le gestionnaire de paquets npm en exécutant la commande `npm install httparty@latest`. Assurez-vous de vérifier que la version installée est supérieure à la 0.23.2 pour atténuer la vulnérabilité SSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68696 est une vulnérabilité SSRF (Server-Side Request Forgery) dans la gem httparty, permettant à un attaquant de forcer le serveur à effectuer des requêtes vers des destinations non intentionnelles.
Vous êtes affecté si vous utilisez httparty dans votre application Ruby et que vous avez une version inférieure ou égale à 0.9.0.
Mettez à jour la gem httparty vers la version 0.24.0 ou supérieure. En attendant, validez rigoureusement les URL fournies par l'utilisateur.
À ce jour, il n'y a pas d'indication d'une exploitation active, mais des PoC publics pourraient émerger.
Consultez le site web de httparty ou le registre des vulnérabilités pour obtenir l'avis officiel.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.