Plataforma
ruby
Componente
cremefraiche
Corrigido em
0.6.1
A vulnerabilidade CVE-2013-2090 é uma falha de injeção de comando presente na gem Creme Fraiche, especificamente na função setmetadata. Essa falha permite que atacantes remotos executem comandos arbitrários no sistema, explorando a manipulação de metacaracteres em nomes de arquivos de anexo de email. A vulnerabilidade afeta versões da Creme Fraiche anteriores a 0.6.1 e pode resultar em comprometimento completo do sistema.
Um atacante pode explorar essa vulnerabilidade enviando um email com um anexo cujo nome contenha metacaracteres de shell (como ; ou |). Quando a função setmetadata processa esse nome de arquivo, ela pode executar comandos arbitrários no servidor. O impacto é severo, pois um atacante pode obter acesso irrestrito ao sistema, roubar dados confidenciais, instalar malware ou usar o servidor como ponto de partida para ataques a outros sistemas na rede. A falha reside na falta de validação adequada dos nomes de arquivos de anexo, permitindo a injeção de comandos maliciosos.
A vulnerabilidade CVE-2013-2090 foi divulgada em 2017. Embora não haja relatos públicos de exploração ativa em larga escala, a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo potencial para atacantes. A ausência de uma correção imediata após a descoberta aumentou o risco de exploração. Não está listada no KEV da CISA.
Ruby applications that rely on the Creme Fraiche gem for metadata extraction, particularly those that process email attachments without proper input validation, are at significant risk. Shared hosting environments where multiple applications share the same Ruby environment are also vulnerable, as a compromise of one application could potentially affect others.
• ruby / server:
find / -name "cremefraiche.rb" -print• ruby / server:
grep -r "set_meta_data" /path/to/your/ruby/project• generic web:
Inspect email attachments for unusual filenames containing shell metacharacters (e.g., ;, |, &, $).
• generic web:
Review application logs for errors related to file processing or command execution.
discovery
disclosure
Status do Exploit
EPSS
1.44% (percentil 81%)
A mitigação primária é atualizar a gem Creme Fraiche para a versão 0.6.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente uma validação rigorosa dos nomes de arquivos de anexo antes de processá-los. Isso pode envolver a remoção de metacaracteres de shell, a verificação do tipo de arquivo e a limitação do tamanho máximo do arquivo. Considere o uso de um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem explorar essa vulnerabilidade. Monitore logs de acesso e erro em busca de padrões suspeitos.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2013-2090 is a critical vulnerability in the Creme Fraiche gem, allowing attackers to execute commands via malicious email attachment filenames before version 0.6.1.
You are affected if your Ruby application uses Creme Fraiche gem versions prior to 0.6.1 and processes email attachments.
Upgrade the Creme Fraiche gem to version 0.6.1 or later. Implement input validation on attachment filenames as a temporary workaround.
While widespread active exploitation isn't confirmed, the vulnerability's ease of exploitation makes it a persistent risk and a potential target.
Refer to the CVE entry on the National Vulnerability Database (NVD) for more information: https://nvd.nist.gov/vuln/detail/CVE-2013-2090
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.