Plataforma
ruby
Componente
paperclip
Corrigido em
5.2.0
A vulnerabilidade CVE-2017-0889 é uma falha de Server-Side Request Forgery (SSRF) presente na classe Paperclip::UriAdapter do gem Paperclip, afetando versões até 5.1.0. Um atacante pode explorar essa falha para acessar informações sobre recursos internos da rede, potencialmente expondo dados sensíveis ou permitindo acesso não autorizado. A correção para essa vulnerabilidade está disponível na versão 5.2.0 do Paperclip.
A exploração bem-sucedida da vulnerabilidade SSRF em Paperclip permite que um atacante realize requisições HTTP a partir do servidor, como se fossem originadas da aplicação. Isso significa que o atacante pode acessar recursos internos que normalmente não seriam acessíveis externamente, como servidores de banco de dados, serviços de administração ou outros sistemas internos. O impacto pode variar desde a exposição de informações confidenciais até a possibilidade de execução remota de código, dependendo da configuração da rede e dos serviços internos expostos. Essa vulnerabilidade se assemelha a outras falhas SSRF, onde a aplicação não valida adequadamente os URLs fornecidos pelo usuário, permitindo que sejam utilizados para acessar recursos não intencionais.
A vulnerabilidade CVE-2017-0889 foi divulgada em 22 de janeiro de 2018. Não há evidências de que essa vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a sua gravidade crítica indica que ela representa um risco significativo para sistemas desprotegidos. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um PoC público aumenta o risco de exploração.
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
Status do Exploit
EPSS
0.34% (percentil 57%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2017-0889 é a atualização para a versão 5.2.0 do gem Paperclip, que corrige a falha SSRF. Se a atualização imediata não for possível, considere implementar medidas de mitigação adicionais, como restringir o acesso à rede a partir da aplicação, utilizando firewalls ou listas de permissão para controlar quais URLs podem ser acessados. Além disso, valide rigorosamente todos os URLs fornecidos pelo usuário antes de utilizá-los em requisições HTTP. Em ambientes de desenvolvimento, desative o acesso à rede externa para evitar a exploração acidental da vulnerabilidade.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2017-0889 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Paperclip Ruby gem, allowing attackers to access internal network resources.
Yes, if you are using Paperclip versions 3.1.4 through 5.1.0, you are vulnerable to this SSRF vulnerability.
Upgrade to Paperclip version 5.2.0 or later to resolve the SSRF vulnerability. Implement URL validation as a temporary workaround.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making this a potential risk.
Refer to the Paperclip project's GitHub repository and related security advisories for more information: https://github.com/thoughtbot/paperclip
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.