paperclip サーバーサイドリクエストフォージェリ (SSRF) 脆弱性

このSSRF脆弱性は、攻撃者がPaperclip gemを介して内部ネットワークリソースにアクセスすることを可能にします。攻撃者は、内部サービスへのリクエストを偽装し、通常は外部からアクセスできないリソースにアクセスできます。例えば、内部データベースや管理インターフェースへのアクセスを試み、機密情報を窃取したり、システムを制御したりする可能性があります。この脆弱性は、内部ネットワークのセキュリティ境界をバイパスし、攻撃対象領域を拡大させるリスクがあります。

Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.

• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.

gem list paperclip

• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.

1. 2018-01-22Disclosure

   disclosure

1. 公開日2018-01-22
2. 更新日2023-11-08
3. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、Paperclip Ruby Gemをバージョン5.2.0以降にアップデートすることです。もしアップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することを検討してください。また、Paperclip gemの設定をレビューし、アクセス可能なURIを制限するなどの緩和策を講じることも有効です。アップデート後、内部ネットワークへのアクセスログを監視し、異常なアクセスがないか確認してください。