CRITICALCVE-2013-2090CVSS 9.5

Creme Fraiche には OS コマンドインジェクションの脆弱性が存在します

プラットフォーム

ruby

コンポーネント

cremefraiche

修正版

0.6.1

AI Confidence: highNVDEPSS 1.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2013-2090は、RubyのCreme Fraiche gemにおけるコマンドインジェクション脆弱性です。この脆弱性は、添付ファイルのファイル名にシェルメタ文字を埋め込むことで、攻撃者が任意のコマンドを実行することを可能にします。影響を受けるバージョンは0.6.1より前のバージョンであり、バージョン0.6.1へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はサーバー上で任意のコマンドを実行できる可能性があります。これにより、機密情報の窃取、システムの改ざん、さらにはサーバーの完全な制御といった深刻な被害が発生する可能性があります。攻撃者は、悪意のあるスクリプトを添付ファイルとして送信し、ファイル名にシェルメタ文字を埋め込むことで、サーバー上でコマンドを実行できます。この脆弱性は、類似のファイル処理ライブラリの脆弱性と共通の攻撃パターンを持つ可能性があります。

悪用の状況

CVE-2013-2090は、2017年10月24日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されている脆弱性情報に基づき、攻撃者が悪用する可能性があります。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Ruby applications that rely on the Creme Fraiche gem for metadata extraction, particularly those that process email attachments without proper input validation, are at significant risk. Shared hosting environments where multiple applications share the same Ruby environment are also vulnerable, as a compromise of one application could potentially affect others.

検出手順翻訳中…

• ruby / server:

find / -name "cremefraiche.rb" -print

• ruby / server:

grep -r "set_meta_data" /path/to/your/ruby/project

• generic web: Inspect email attachments for unusual filenames containing shell metacharacters (e.g., ;, |, &, $). • generic web: Review application logs for errors related to file processing or command execution.

攻撃タイムライン

2013-08-23Discovery
discovery
2017-10-24Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

1.44% (81% パーセンタイル)

影響を受けるソフトウェア

コンポーネントcremefraiche

ベンダーosv

影響範囲修正版

—0.6.1

タイムライン

公開日2017-10-24
更新日2023-11-08
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Creme Fraiche gemをバージョン0.6.1にアップデートすることです。アップデートがすぐに利用できない場合、添付ファイルのファイル名を検証し、シェルメタ文字が含まれていないことを確認する入力検証を実装することを検討してください。また、WAF（Web Application Firewall）を使用して、悪意のあるファイル名パターンをブロックすることも有効です。アップデート後、Creme Fraiche gemのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2013-2090 — コマンドインジェクション in Creme Fraiche gemとは何ですか？

CVE-2013-2090は、Creme Fraiche gemのバージョン0.6.1より前のバージョンにおいて、添付ファイルのファイル名にシェルメタ文字を埋め込むことで、攻撃者が任意のコマンドを実行できるコマンドインジェクション脆弱性です。

CVE-2013-2090 in Creme Fraiche gemの影響はありますか？

Rubyアプリケーションを開発・運用しており、Creme Fraiche gemのバージョン0.6.1より前のバージョンを使用しているシステムは影響を受けます。

CVE-2013-2090 in Creme Fraiche gemを修正するにはどうすればよいですか？

Creme Fraiche gemをバージョン0.6.1にアップデートすることで修正できます。アップデートがすぐに利用できない場合は、添付ファイルのファイル名検証を実装してください。

CVE-2013-2090は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されている脆弱性情報に基づき、攻撃者が悪用する可能性があります。

CVE-2013-2090に関するCreme Fraiche gemの公式アドバイザリはどこで入手できますか？

Creme Fraiche gemの公式アドバイザリは、Gemリポジトリまたは関連するセキュリティ情報サイトで確認できます。