sprout 任意のコード実行 (Arbitrary Code Execution) の脆弱性

この脆弱性は、攻撃者がZIPファイルを処理する際に、ファイル名やパスに埋め込まれたシェルメタ文字を介して任意のコマンドを実行することを可能にします。例えば、攻撃者は悪意のあるスクリプトを含むZIPファイルをシステムにアップロードし、unpack_zip関数がこのファイルを処理する際に、スクリプトが実行される可能性があります。これにより、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性は、類似のファイル処理ライブラリにおける脆弱性と同様に、広範囲なシステムに影響を及ぼす可能性があります。

Applications and services utilizing the Sprout gem, particularly those handling user-uploaded files or processing zip archives from untrusted sources, are at significant risk. Ruby applications deployed on older operating systems or with outdated gem dependencies are also more vulnerable. Shared hosting environments where multiple applications share the same Ruby environment are particularly susceptible, as a compromise in one application could potentially affect others.

• ruby / server:

  grep -r 'unpack_zip' /path/to/ruby/gems/sprout-*/archive_unpacker.rb

• ruby / server:

  find /path/to/ruby/gems/ -name 'archive_unpacker.rb' -mtime +30

• ruby / server:

  ps aux | grep sprout

1. 2013-00-00Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

1. 公開日2017-10-24
2. 更新日2023-11-08
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まず、sprout gemを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、ZIPファイルの処理を一時的に停止するか、信頼できるソースからのZIPファイルのみを処理するように制限してください。また、Webアプリケーションファイアウォール（WAF）やプロキシサーバーを使用して、悪意のあるシェルメタ文字を含むZIPファイルのアップロードをブロックすることも有効です。ファイル名やパスの検証を厳格に行い、特殊文字のエスケープ処理を徹底することで、攻撃のリスクを軽減できます。