Platform
ruby
Component
paperclip
Opgelost in
5.2.0
De CVE-2017-0889 kwetsbaarheid is een Server-Side Request Forgery (SSRF) probleem in de Paperclip ruby gem. Deze kwetsbaarheid stelt aanvallers in staat om interne netwerkbronnen te benaderen die anders niet toegankelijk zouden zijn. De kwetsbaarheid treft versies van Paperclip tot en met 5.1.0. Een fix is beschikbaar in versie 5.2.0.
Een succesvolle exploitatie van deze SSRF kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot interne netwerkdiensten en -bronnen. Aanvallers kunnen bijvoorbeeld interne API's benaderen, gevoelige configuratiebestanden ophalen of zelfs interne systemen scannen op verdere kwetsbaarheden. De impact kan aanzienlijk zijn, aangezien de aanvallers de Paperclip gem kunnen gebruiken om een springplank te creëren voor verdere aanvallen op het interne netwerk. Dit is vergelijkbaar met andere SSRF exploits waarbij interne services blootgesteld worden.
Deze kwetsbaarheid werd publiek bekendgemaakt op 22 januari 2018. Er zijn publieke Proof-of-Concept (PoC) exploits beschikbaar. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Er zijn geen meldingen van actieve exploitatie in de wild. De NVD datum is 2018-01-22.
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
Exploit Status
EPSS
0.34% (57% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de Paperclip ruby gem naar versie 5.2.0 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan om een Web Application Firewall (WAF) te implementeren die SSRF-aanvallen blokkeert. Configureer de WAF om verzoeken naar interne IP-adressen of ongebruikelijke schema's te filteren. Controleer ook de configuratie van Paperclip om te zorgen dat de UriAdapter correct is geconfigureerd en dat er geen onbeperkte toegang tot interne bronnen mogelijk is. Na de upgrade, verifieer de fix door een test-SSRF-request te proberen via Paperclip en controleer of deze wordt geblokkeerd.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2017-0889 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Paperclip Ruby gem, allowing attackers to access internal network resources.
Yes, if you are using Paperclip versions 3.1.4 through 5.1.0, you are vulnerable to this SSRF vulnerability.
Upgrade to Paperclip version 5.2.0 or later to resolve the SSRF vulnerability. Implement URL validation as a temporary workaround.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making this a potential risk.
Refer to the Paperclip project's GitHub repository and related security advisories for more information: https://github.com/thoughtbot/paperclip
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.