プラットフォーム
ruby
コンポーネント
recurly
修正版
2.3.10
Recurly Client Ruby Libraryのバージョン2.3.9以前には、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が存在します。この脆弱性は、Resource#findメソッドにおいて、攻撃者が意図しないリソースへのアクセスを試みることにより悪用される可能性があります。影響を受けるバージョンは2.3.9以前であり、バージョン2.3.10以降に修正されています。
このSSRF脆弱性は、攻撃者がRecurly APIへのアクセスを偽装し、内部リソースにアクセスすることを可能にします。攻撃者は、APIキーを盗み出し、不正な請求や顧客データの改ざんを行う可能性があります。さらに、内部ネットワークにアクセスし、他のシステムへの攻撃の足がかりとして利用されるリスクも存在します。この脆弱性の悪用は、機密情報の漏洩、不正な取引、およびシステム全体のセキュリティ侵害につながる可能性があります。
この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、KEVに登録されていませんが、SSRF脆弱性の性質上、攻撃者による悪用が懸念されます。公開されているPoCは確認されていませんが、類似のSSRF脆弱性(Log4Shellなど)と同様に、攻撃者による調査が進む可能性があります。2017年12月6日にCVEが公開されました。
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
エクスプロイト状況
EPSS
0.52% (67% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、まずRecurly Client Ruby Libraryをバージョン2.3.10以降にアップデートすることを推奨します。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、Recurly APIへのアクセスを制限するネットワークセグメンテーションを実施することも有効です。アップデート後、APIキーのローテーションを実施し、不正アクセスがないか監視してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2017-0905は、Recurly Client Ruby Libraryのバージョン2.3.9以前に存在するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。攻撃者はこの脆弱性を悪用して、内部リソースにアクセスする可能性があります。
はい、影響があります。Recurly Client Ruby Libraryのバージョン2.3.9以前を使用している場合は、APIキーの漏洩や不正な取引のリスクがあります。
Recurly Client Ruby Libraryをバージョン2.3.10以降にアップデートしてください。アップデートが困難な場合は、WAFを導入するなど、緩和策を検討してください。
現時点では、積極的に悪用されているという報告はありませんが、SSRF脆弱性の性質上、攻撃者による悪用が懸念されます。
Recurlyの公式アドバイザリは、Recurlyのセキュリティページで確認できます。
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。