प्लेटफ़ॉर्म
ruby
घटक
recurly
में ठीक किया गया
2.3.10
CVE-2017-0905 Recurly Client Ruby Library में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत अनुरोध करने और संवेदनशील डेटा तक पहुंचने की अनुमति दे सकती है, जैसे कि API कुंजियाँ। यह भेद्यता Recurly Client Ruby Library के संस्करणों 2.3.9 और उससे पहले को प्रभावित करती है। संस्करण 2.3.10 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को Recurly API के साथ इंटरैक्ट करने के लिए आंतरिक संसाधनों तक पहुंचने की अनुमति देती है, संभावित रूप से संवेदनशील जानकारी उजागर करती है। हमलावर API कुंजियों को चुरा सकते हैं, आंतरिक सेवाओं को स्कैन कर सकते हैं, या अन्य आंतरिक प्रणालियों के साथ इंटरैक्ट करने के लिए Recurly क्लाइंट लाइब्रेरी का उपयोग कर सकते हैं। इस भेद्यता का उपयोग डेटा उल्लंघनों, सेवा व्यवधान और अन्य दुर्भावनापूर्ण गतिविधियों के लिए किया जा सकता है। चूंकि यह Ruby लाइब्रेरी है, इसलिए इसका प्रभाव उन अनुप्रयोगों पर पड़ेगा जो इस लाइब्रेरी का उपयोग Recurly API के साथ इंटरैक्ट करने के लिए करते हैं।
CVE-2017-0905 को 2017-12-06 को सार्वजनिक रूप से खुलासा किया गया था। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) नहीं है, लेकिन SSRF भेद्यताओं का उपयोग अक्सर आंतरिक संसाधनों तक पहुंचने और संवेदनशील डेटा चुराने के लिए किया जाता है। CISA KEV सूची में इसकी उपस्थिति इसकी गंभीरता को दर्शाती है। इस भेद्यता का शोषण कम संभावना है क्योंकि इसके लिए Recurly API के साथ इंटरैक्ट करने के लिए Ruby लाइब्रेरी का उपयोग करने वाले एप्लिकेशन की आवश्यकता होती है।
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
एक्सप्लॉइट स्थिति
EPSS
0.52% (67% शतमक)
CVSS वेक्टर
सबसे प्रभावी शमन उपाय Recurly Client Ruby Library को संस्करण 2.3.10 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि बाहरी स्रोतों से आने वाले अनुरोधों को फ़िल्टर किया जा सके। इसके अतिरिक्त, Recurly API तक पहुंच को सीमित करने के लिए नेटवर्क एक्सेस नियंत्रणों को लागू किया जाना चाहिए। सुनिश्चित करें कि Recurly API कुंजियाँ सुरक्षित रूप से संग्रहीत हैं और अनधिकृत पहुंच से सुरक्षित हैं। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, Recurly API के साथ कुछ अनुरोध करके और यह सुनिश्चित करके कि कोई अनपेक्षित प्रतिक्रिया नहीं है।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2017-0905 Recurly Client Ruby Library में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को अनधिकृत अनुरोध करने की अनुमति देती है।
यदि आप Recurly Client Ruby Library के संस्करण 2.3.9 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Recurly Client Ruby Library को संस्करण 2.3.10 या बाद के संस्करण में अपडेट करें।
हालांकि कोई सार्वजनिक रूप से उपलब्ध POC नहीं है, SSRF भेद्यताओं का उपयोग अक्सर आंतरिक संसाधनों तक पहुंचने के लिए किया जाता है।
Recurly सलाहकार के लिए, कृपया Recurly की सुरक्षा वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।