प्लेटफ़ॉर्म
ruby
घटक
rack
में ठीक किया गया
2.2.14
3.0.1
3.1.1
2.2.13
CVE-2025-27610 Rack नामक रूबी लाइब्रेरी में एक फ़ाइल एक्सेस भेद्यता है। इस भेद्यता का शोषण करके, एक हमलावर निर्दिष्ट रूट निर्देशिका के तहत सभी फ़ाइलों तक पहुंच सकता है। यह भेद्यता Rack संस्करण 2.2.9 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, Rack को संस्करण 2.2.13 या बाद के संस्करण में अपडेट करें।
यह भेद्यता Rack::Static के माध्यम से फ़ाइलों को परोसते समय एक गंभीर जोखिम प्रस्तुत करती है। Rack::Static उपयोगकर्ता-प्रदत्त पथों को ठीक से मान्य नहीं करता है, जिससे हमलावरों को एन्कोडेड पथ ट्रैवर्सल अनुक्रमों का उपयोग करके निर्दिष्ट स्थिर फ़ाइल निर्देशिका के बाहर फ़ाइलों तक पहुंचने की अनुमति मिलती है। एक सफल शोषण के परिणामस्वरूप संवेदनशील डेटा का प्रकटीकरण, सिस्टम समझौता या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। हमलावर रूट निर्देशिका में किसी भी फ़ाइल को पढ़ सकते हैं, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय जानकारी शामिल हो सकती है।
CVE-2025-27610 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है। यह भेद्यता 2025-03-10 को प्रकाशित हुई थी।
Applications using Rack::Static for serving static content, particularly those deployed in production environments, are at risk. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others. Legacy applications using older versions of Rack::Static are also at increased risk.
• ruby / gem: Use gem list to check for Rack::Static versions. Look for versions <= 2.2.9.
gem list rack-static• linux / server: Examine web server access logs for requests containing path traversal sequences (e.g., ../).
grep '../' /var/log/nginx/access.log• generic web: Use curl to attempt accessing files outside the intended static directory. If successful, the vulnerability is present.
curl http://your-server/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.41% (62% शतमक)
CISA SSVC
CVSS वेक्टर
भेद्यता को कम करने के लिए, Rack को संस्करण 2.2.13 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी शमन रणनीति के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके रूट निर्देशिका तक पहुंच को प्रतिबंधित किया जा सकता है। इसके अतिरिक्त, Rack::Static द्वारा परोसी जा रही फ़ाइलों को सीमित करना और सख्त एक्सेस नियंत्रण लागू करना जोखिम को कम करने में मदद कर सकता है। सुनिश्चित करें कि सभी इनपुट को ठीक से मान्य और सैनिटाइज किया गया है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, रूट निर्देशिका में संवेदनशील फ़ाइलों तक अनधिकृत पहुंच का प्रयास करके।
Actualice la gema `rack` a la versión 2.2.13, 3.0.14 o 3.1.12 o superior. Alternativamente, elimine el uso de `Rack::Static` o asegúrese de que `root:` apunte a un directorio que solo contenga archivos que deban ser accesibles públicamente. El uso de un CDN o un servidor de archivos estáticos similar también podría mitigar el problema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-27610 Rack लाइब्रेरी में एक भेद्यता है जो हमलावरों को रूट निर्देशिका के तहत फ़ाइलों तक पहुंचने की अनुमति देती है। यह भेद्यता CVSS को 7.5 की उच्च गंभीरता रेटिंग दी गई है।
यदि आप Rack के संस्करण 2.2.9 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Rack को संस्करण 2.2.13 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF या प्रॉक्सी का उपयोग करके रूट निर्देशिका तक पहुंच को प्रतिबंधित करें।
हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए Rack प्रोजेक्ट की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।