Plataforma
ruby
Componente
multi_xml
Corrigido em
0.5.2
A vulnerabilidade CVE-2013-0175 afeta a gem multi_xml para Ruby, especificamente versões anteriores ou iguais a 0.5.1. Esta falha permite a injeção de objetos, possibilitando a execução de código arbitrário ou a negação de serviço. A vulnerabilidade é explorada através da manipulação de referências de entidades XML aninhadas, aproveitando a conversão de tipos YAML ou Symbol. A correção oficial está disponível na versão 0.5.2.
Um atacante pode explorar esta vulnerabilidade para injetar objetos maliciosos no processo Ruby, levando à execução de código arbitrário com os privilégios do usuário que executa o aplicativo. Isso pode resultar no comprometimento completo do sistema, incluindo roubo de dados, instalação de malware ou controle remoto. A exploração também pode levar a uma negação de serviço (DoS) devido ao consumo excessivo de memória e CPU, especialmente ao manipular referências de entidades XML aninhadas. A vulnerabilidade é similar à CVE-2013-0156, o que indica a possibilidade de técnicas de exploração reutilizadas.
A vulnerabilidade CVE-2013-0175 foi divulgada em 2017. Não está listada no KEV da CISA no momento da redação. Embora não haja relatos públicos de exploração ativa em larga escala, a natureza da vulnerabilidade e a sua similaridade com CVE-2013-0156 sugerem que pode ser explorada em sistemas desprotegidos. A existência de um PoC público aumenta o risco de exploração.
Applications built with Ruby and utilizing the multi_xml gem, particularly those using Grape web frameworks before version 0.2.6, are at significant risk. Shared hosting environments where users have the ability to upload or process XML data are also vulnerable, as are legacy applications that have not been regularly updated.
• ruby / server:
gem list | grep multi_xml• ruby / server:
gem list | grep grape• ruby / server:
grep -r 'multi_xml.parse' /path/to/your/applicationdiscovery
disclosure
Status do Exploit
EPSS
1.26% (percentil 79%)
A mitigação primária é atualizar a gem multi_xml para a versão 0.5.2 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir a entrada XML para evitar a expansão de entidades aninhadas. Implementar validação rigorosa dos dados de entrada XML é crucial. Em ambientes de produção, utilize um firewall de aplicação web (WAF) para bloquear solicitações maliciosas que tentem explorar esta vulnerabilidade. Monitore logs de aplicativos e sistemas em busca de padrões de ataque relacionados à injeção de XML.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2013-0175 is a HIGH severity vulnerability affecting the multi_xml Ruby gem, allowing remote attackers to execute code or cause denial of service through object injection by exploiting improper XML parsing.
You are affected if you are using multixml gem versions 0.5.1 or earlier, or if you are using Grape versions prior to 0.2.6 that rely on multixml.
Upgrade the multi_xml gem to version 0.5.2 or later. If upgrading is not possible, implement strict input validation and sanitization for XML data.
While active exploitation is unlikely due to the vulnerability's age and the availability of a patch, the potential for exploitation remains if systems are running vulnerable versions.
The official advisory can be found in the NVD database: https://nvd.nist.gov/vuln/detail/CVE-2013-0175
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.