multi_xml में अनुचित इनपुट सत्यापन

यह भेद्यता हमलावरों को Ruby अनुप्रयोगों के भीतर मनमाना कोड निष्पादित करने की अनुमति देती है जो multi_xml gem का उपयोग करते हैं। हमलावर YAML या Symbol प्रकार रूपांतरण का लाभ उठाकर XML इकाई संदर्भों का उपयोग करके मेमोरी और CPU संसाधनों को समाप्त कर सकते हैं, जिससे सेवा से इनकार हो सकता है। इस भेद्यता का उपयोग संवेदनशील डेटा तक पहुंचने, सिस्टम को नियंत्रित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। यह CVE-2013-0156 के समान एक पैटर्न का अनुसरण करता है, जो XML पार्सिंग में कमजोरियों के कारण होने वाले संभावित जोखिमों को उजागर करता है।

Applications built with Ruby and utilizing the multi_xml gem, particularly those using Grape web frameworks before version 0.2.6, are at significant risk. Shared hosting environments where users have the ability to upload or process XML data are also vulnerable, as are legacy applications that have not been regularly updated.

• ruby / server:

 gem list | grep multi_xml

• ruby / server:

 gem list | grep grape

• ruby / server:

 grep -r 'multi_xml.parse' /path/to/your/application

1. 2013-04-15Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

1. प्रकाशित2017-10-24
2. संशोधित2024-12-04
3. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, multi_xml gem को संस्करण 0.5.2 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य करने और XML इकाई संदर्भों को हटाने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) या प्रॉक्सी नियमों को लागू किया जा सकता है। इसके अतिरिक्त, Ruby अनुप्रयोगों में YAML और Symbol प्रकार रूपांतरणों को अक्षम करने पर विचार करें, खासकर जब अविश्वसनीय स्रोतों से XML डेटा को संसाधित किया जा रहा हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक परीक्षण करें।