प्लेटफ़ॉर्म
curl
घटक
curl
में ठीक किया गया
0.0.10
CVE-2013-2617 Curl Gem में एक कमांड इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को URL में शेल मेटाकैरेक्टर का उपयोग करके मनमाना कमांड निष्पादित करने की अनुमति देती है। यह भेद्यता Curl Gem के संस्करण 0.0.9 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, Curl Gem को नवीनतम संस्करण में अपडेट करें।
CVE-2013-2617 भेद्यता का शोषण करने वाला एक हमलावर सर्वर पर मनमाना कमांड निष्पादित कर सकता है। इसका उपयोग संवेदनशील डेटा तक पहुंचने, सिस्टम को संशोधित करने या अन्य दुर्भावनापूर्ण गतिविधियां करने के लिए किया जा सकता है। इस भेद्यता का उपयोग सर्वर को पूरी तरह से नियंत्रित करने के लिए भी किया जा सकता है। चूंकि यह Ruby Gem है, इसका प्रभाव उन अनुप्रयोगों पर पड़ेगा जो Curl Gem पर निर्भर हैं, जिससे संभावित रूप से डेटा उल्लंघन और सिस्टम समझौता हो सकता है।
CVE-2013-2617 को सार्वजनिक रूप से 2017 में उजागर किया गया था। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हैं, जो भेद्यता के शोषण को आसान बनाते हैं। इस भेद्यता को अभी तक CISA KEV सूची में शामिल नहीं किया गया है, लेकिन इसका उच्च CVSS स्कोर और PoC की उपलब्धता के कारण इसका शोषण होने की संभावना है।
Applications written in Ruby that rely on the Curl Gem for URL processing are at risk. This includes web applications, scripts, and automation tools. Specifically, older Ruby projects that haven't been updated in a while are particularly vulnerable, as they are more likely to be using outdated versions of the Curl Gem.
• ruby / server:
grep -r 'curl.rb' /path/to/your/ruby/projects | grep -i 'http://' # Look for URL processing in the vulnerable file• generic web:
curl -I 'http://your-application.com?url=;ls' # Attempt to trigger command injection via URL parameterdisclosure
एक्सप्लॉइट स्थिति
EPSS
1.41% (80% शतमक)
CVE-2013-2617 को कम करने के लिए, Curl Gem को नवीनतम संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके URL इनपुट को फ़िल्टर किया जा सकता है ताकि शेल मेटाकैरेक्टर को हटाया जा सके। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करने से इस भेद्यता के जोखिम को कम करने में मदद मिल सकती है। Curl Gem के पुराने संस्करणों का उपयोग करने वाले अनुप्रयोगों को तुरंत अपडेट किया जाना चाहिए।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2013-2617 Curl Gem में एक भेद्यता है जो हमलावरों को URL में शेल मेटाकैरेक्टर का उपयोग करके मनमाना कमांड निष्पादित करने की अनुमति देती है। यह Curl Gem के संस्करण 0.0.9 से पहले के संस्करणों को प्रभावित करता है।
यदि आप Curl Gem के संस्करण 0.0.9 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2013-2617 को ठीक करने के लिए, Curl Gem को नवीनतम संस्करण में अपडेट करें।
CVE-2013-2617 के लिए सार्वजनिक रूप से उपलब्ध PoC मौजूद हैं, जो भेद्यता के शोषण को आसान बनाते हैं।
आप Curl Gem के लिए CVE-2013-2617 के लिए आधिकारिक सलाहकार https://security.rubygems.org/gems/curl/security/CVE-2013-2617 पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।