Plataforma
ruby
Componente
recurly
Corrigido em
2.3.10
A vulnerabilidade CVE-2017-0905 é uma falha de Server-Side Request Forgery (SSRF) identificada na biblioteca Recurly Client Ruby Library. Essa falha permite que um atacante induza o servidor a fazer requisições para locais não intencionais, o que pode levar à exposição de informações sensíveis, como chaves de API. A vulnerabilidade afeta versões da biblioteca até 2.3.9 e foi corrigida na versão 2.3.10.
Um atacante explorando essa vulnerabilidade pode induzir o servidor a fazer requisições para recursos internos ou externos que normalmente não seriam acessíveis. Isso pode resultar na exposição de chaves de API, tokens de autenticação e outras informações confidenciais armazenadas no servidor ou acessíveis através dele. Além disso, a falha SSRF pode ser utilizada para realizar ataques de reconhecimento de rede, mapeando a topologia interna da rede e identificando outros serviços e sistemas vulneráveis. A exploração bem-sucedida pode levar à comprometimento completo do sistema e à exfiltração de dados sensíveis.
A vulnerabilidade CVE-2017-0905 foi divulgada publicamente em 6 de dezembro de 2017. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza crítica da vulnerabilidade e a facilidade de exploração a tornam um alvo potencial para atacantes. A ausência de um Proof of Concept (PoC) publicamente disponível não diminui o risco, pois a exploração pode ser desenvolvida rapidamente.
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
Status do Exploit
EPSS
0.52% (percentil 67%)
Vetor CVSS
A mitigação primária para CVE-2017-0905 é atualizar a biblioteca Recurly Client Ruby Library para a versão 2.3.10 ou superior, que inclui a correção para a vulnerabilidade SSRF. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à rede do servidor e implementar regras de firewall para bloquear requisições para destinos não confiáveis. Monitore os logs do servidor em busca de atividades suspeitas, como requisições para URLs inesperadas. Após a atualização, confirme a correção verificando se a função Resource#find não permite mais requisições arbitrárias.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2017-0905 is a critical Server-Side Request Forgery vulnerability in the Recurly Client Ruby Library, allowing attackers to potentially access internal resources and compromise API keys.
You are affected if your Ruby application uses the Recurly Client Ruby Library version 2.3.9 or earlier. Upgrade to version 2.3.10 or later to mitigate the risk.
Upgrade the Recurly Client Ruby Library to version 2.3.10 or later. If upgrading is not possible immediately, implement input validation and restrict network access.
While no confirmed active exploitation campaigns are publicly known, SSRF vulnerabilities are frequently targeted, making proactive mitigation essential.
Refer to the Recurly security advisory for detailed information and updates: https://www.recurly.com/security/advisories/recurly-client-ssrf/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.