HTTParty स्ट्रिंग मानों की कास्ट को प्रतिबंधित नहीं करता है

यह भेद्यता एक हमलावर को Ruby एप्लिकेशन में मनमाना कोड निष्पादित करने की अनुमति दे सकती है जो httparty gem का उपयोग करता है। हमलावर YAML टाइप रूपांतरण का फायदा उठाकर ऑब्जेक्ट इंजेक्शन हमला कर सकता है। इससे एप्लिकेशन पर पूर्ण नियंत्रण प्राप्त हो सकता है, संवेदनशील डेटा तक पहुंच प्राप्त हो सकती है, या सेवा से इनकार किया जा सकता है। यह भेद्यता CVE-2013-0156 के समान है, जो Action Pack में एक समान भेद्यता थी। इस भेद्यता का शोषण करने के लिए, एक हमलावर को एक दुर्भावनापूर्ण YAML फ़ाइल प्रदान करनी होगी जिसे httparty gem द्वारा संसाधित किया जाएगा।

Applications and systems utilizing the httparty gem in Ruby, particularly those handling external data or user input, are at risk. This includes web applications, APIs, and any Ruby scripts that rely on httparty for making HTTP requests. Legacy applications using older versions of Ruby and its dependencies are particularly vulnerable.

• ruby / gem: gem list httparty to check installed version. If ≤0.9.0, the system is vulnerable. • ruby / gem: Inspect application code for usage of httparty and potential vulnerable code paths involving YAML parsing. • ruby / system: Monitor system logs for unusual process activity or memory consumption related to Ruby applications using httparty.

1. 2013-00-00Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

3. 2017-10-24PoC

   poc

1. प्रकाशित2017-10-24
2. संशोधित2024-11-29
3. EPSS अद्यतन2026-04-02

CVE-2013-1801 को कम करने के लिए, httparty gem को संस्करण 0.10.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, YAML फ़ाइलों को संसाधित करते समय इनपुट सत्यापन और सैनिटाइजेशन लागू किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग YAML इंजेक्शन हमलों को ब्लॉक करने के लिए किया जा सकता है। सुनिश्चित करें कि Ruby एप्लिकेशन में सभी निर्भरताएँ अद्यतित हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, YAML फ़ाइलों को संसाधित करते समय इनपुट को मान्य करके और किसी भी असामान्य व्यवहार की निगरानी करके।