Creme Fraiche में OS Command Injection शामिल है

CVE-2013-2090 भेद्यता का शोषण करने वाला हमलावर सर्वर पर मनमाना कमांड निष्पादित कर सकता है। इसका उपयोग संवेदनशील डेटा तक पहुंचने, सिस्टम को संशोधित करने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। इस भेद्यता का उपयोग करके, हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह दूरस्थ रूप से शोषण योग्य है, जिसका अर्थ है कि हमलावर को सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। यह भेद्यता Log4Shell जैसा ही गंभीर है, क्योंकि यह हमलावरों को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देती है।

Ruby applications that rely on the Creme Fraiche gem for metadata extraction, particularly those that process email attachments without proper input validation, are at significant risk. Shared hosting environments where multiple applications share the same Ruby environment are also vulnerable, as a compromise of one application could potentially affect others.

• ruby / server:

find / -name "cremefraiche.rb" -print

• ruby / server:

grep -r "set_meta_data" /path/to/your/ruby/project

• generic web: Inspect email attachments for unusual filenames containing shell metacharacters (e.g., ;, |, &, $). • generic web: Review application logs for errors related to file processing or command execution.

1. 2013-08-23Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

1. प्रकाशित2017-10-24
2. संशोधित2023-11-08
3. EPSS अद्यतन2026-04-02

CVE-2013-2090 भेद्यता को कम करने के लिए, Creme Fraiche gem को संस्करण 0.6.1 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो फ़ाइल नामों को मान्य करने और शेल मेटाकैरेक्टर को हटाने के लिए इनपुट सत्यापन लागू किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कमांड इंजेक्शन हमलों को ब्लॉक करने के लिए भी किया जा सकता है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एक सुरक्षा स्कैन चलाएं।