Platform
ruby
Component
recurly
Opgelost in
2.3.10
CVE-2017-0905 is een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in de Recurly Client Ruby Library. Deze kwetsbaarheid kan misbruikt worden om ongeautoriseerde toegang te krijgen tot interne resources en gevoelige data te stelen. De kwetsbaarheid treedt op in versies van de library tot en met 2.3.9. Een upgrade naar versie 2.3.10 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2017-0905 stelt een aanvaller in staat om willekeurige HTTP-verzoeken uit te voeren vanuit de context van de Recurly Client Ruby Library. Dit kan leiden tot het blootleggen van interne services en gevoelige informatie, zoals API-sleutels, wachtwoorden en andere credentials. De aanvaller kan deze credentials vervolgens gebruiken om ongeautoriseerde toegang te krijgen tot de Recurly-omgeving en mogelijk andere systemen waar de library wordt gebruikt. De impact is aanzienlijk, aangezien de kwetsbaarheid kan leiden tot een compromis van de gehele applicatie en de daaraan gekoppelde data.
CVE-2017-0905 werd publiekelijk bekendgemaakt op 6 december 2017. Er zijn geen bekende actieve campagnes gerapporteerd die deze specifieke kwetsbaarheid misbruiken, maar SSRF-kwetsbaarheden worden vaak gebruikt in combinatie met andere aanvallen. Er zijn publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico verhoogt dat de kwetsbaarheid wordt misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de ernst ervan onderstreept.
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
Exploit Status
EPSS
0.52% (67% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2017-0905 is het upgraden van de Recurly Client Ruby Library naar versie 2.3.10 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van restricties op de URL's die de Resource#find methode kan benaderen. Dit kan worden bereikt door een whitelist van toegestane domeinen te configureren. Het is belangrijk om de applicatie te monitoren op verdachte activiteit, zoals ongebruikelijke HTTP-verzoeken naar interne resources. Na de upgrade, controleer de logs op fouten en bevestig dat de Resource#find methode correct functioneert met de nieuwe versie.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2017-0905 is a critical Server-Side Request Forgery vulnerability in the Recurly Client Ruby Library, allowing attackers to potentially access internal resources and compromise API keys.
You are affected if your Ruby application uses the Recurly Client Ruby Library version 2.3.9 or earlier. Upgrade to version 2.3.10 or later to mitigate the risk.
Upgrade the Recurly Client Ruby Library to version 2.3.10 or later. If upgrading is not possible immediately, implement input validation and restrict network access.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making proactive mitigation essential.
Refer to the Recurly security advisory for detailed information and updates: https://www.recurly.com/security/advisories/recurly-client-ssrf/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.