प्लेटफ़ॉर्म
ruby
घटक
paperclip
में ठीक किया गया
5.2.0
CVE-2017-0889 Paperclip Ruby Gem में एक Server-Side Request Forgery (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता Paperclip Ruby Gem के संस्करण 3.1.4 और उससे बाद वाले संस्करणों को प्रभावित करती है, विशेष रूप से 5.1.0 से कम या बराबर वाले संस्करणों को। संस्करण 5.2.0 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को आंतरिक सेवाओं और संसाधनों तक पहुँचने की अनुमति देती है जो आमतौर पर बाहरी दुनिया के लिए दुर्गम होते हैं। हमलावर आंतरिक डेटाबेस, व्यवस्थापन इंटरफेस या अन्य संवेदनशील प्रणालियों तक पहुँच सकते हैं। वे आंतरिक नेटवर्क पर अन्य प्रणालियों को स्कैन करने और कमजोरियों का पता लगाने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिससे संभावित रूप से आगे के हमलों का मार्ग प्रशस्त हो सकता है। इस भेद्यता का उपयोग आंतरिक नेटवर्क पर डेटा चोरी, सिस्टम समझौता या सेवा से इनकार करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो Paperclip का उपयोग फ़ाइल अपलोड को संभालने के लिए करते हैं, क्योंकि हमलावर फ़ाइल अपलोड के माध्यम से दुर्भावनापूर्ण अनुरोध भेज सकते हैं।
CVE-2017-0889 को अभी तक सक्रिय रूप से शोषण करने के बारे में कोई सार्वजनिक जानकारी नहीं है। हालाँकि, SSRF भेद्यताएँ अक्सर शोषण के लिए आसान होती हैं, और इस भेद्यता का उपयोग आंतरिक नेटवर्क पर आगे के हमलों को लॉन्च करने के लिए किया जा सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध हैं, जो इस भेद्यता की गंभीरता को उजागर करते हैं।
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.34% (57% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Paperclip Ruby Gem को संस्करण 5.2.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि आंतरिक संसाधनों तक अनधिकृत पहुँच को अवरुद्ध किया जा सके। इसके अतिरिक्त, आप Paperclip के URIAdapter को कॉन्फ़िगर कर सकते हैं ताकि केवल विश्वसनीय प्रोटोकॉल और डोमेन की अनुमति दी जा सके। यह सुनिश्चित करें कि आपके आंतरिक नेटवर्क को बाहरी दुनिया से ठीक से अलग किया गया है ताकि हमलावर आंतरिक संसाधनों तक पहुँचने के लिए SSRF भेद्यता का उपयोग न कर सकें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुँच का प्रयास करके और यह सुनिश्चित करके कि वे अवरुद्ध हैं।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2017-0889 Paperclip Ruby Gem में एक Server-Side Request Forgery (SSRF) भेद्यता है जो हमलावरों को आंतरिक नेटवर्क संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप Paperclip Ruby Gem के संस्करण 5.1.0 से कम या बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Paperclip Ruby Gem को संस्करण 5.2.0 या बाद के संस्करण में अपडेट करें।
CVE-2017-0889 को अभी तक सक्रिय रूप से शोषण करने के बारे में कोई सार्वजनिक जानकारी नहीं है, लेकिन SSRF भेद्यताएँ अक्सर शोषण के लिए आसान होती हैं।
आप आधिकारिक Paperclip सलाहकार यहाँ पा सकते हैं: [https://github.com/thoughtbot/paperclip/security/advisories](https://github.com/thoughtbot/paperclip/security/advisories)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।