CVE-2013-1801 是 httparty Ruby gem 中的对象注入漏洞。该漏洞允许远程攻击者利用 YAML 类型转换支持执行任意代码或导致拒绝服务,消耗内存和 CPU 资源。受影响的版本包括 httparty gem 0.9.0 及其更早版本。建议升级至 0.10.0 版本以修复此漏洞。
攻击者可以利用此漏洞通过 httparty gem 的 YAML 类型转换功能执行任意代码。这可能导致攻击者完全控制受影响的系统,窃取敏感数据,或进行其他恶意活动。此外,攻击者还可以利用此漏洞导致拒绝服务,通过消耗大量的内存和 CPU 资源使系统无法正常运行。该漏洞与 CVE-2013-0156 类似,都涉及 YAML 类型转换的缺陷。
该漏洞已公开披露,且存在公开的利用代码。目前尚无关于该漏洞被大规模利用的报告,但由于其潜在的严重性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。
Applications and systems utilizing the httparty gem in Ruby, particularly those handling external data or user input, are at risk. This includes web applications, APIs, and any Ruby scripts that rely on httparty for making HTTP requests. Legacy applications using older versions of Ruby and its dependencies are particularly vulnerable.
• ruby / gem: gem list httparty to check installed version. If ≤0.9.0, the system is vulnerable.
• ruby / gem: Inspect application code for usage of httparty and potential vulnerable code paths involving YAML parsing.
• ruby / system: Monitor system logs for unusual process activity or memory consumption related to Ruby applications using httparty.
discovery
disclosure
poc
漏洞利用状态
EPSS
2.99% (86% 百分位)
最有效的缓解措施是升级到 httparty gem 0.10.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤包含恶意 YAML 数据的请求。此外,应仔细审查 httparty gem 的配置,确保其只接受来自可信来源的数据。在升级后,请验证 httparty gem 是否已成功升级,并确认漏洞已得到修复。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2013-1801 是 httparty Ruby gem 0.9.0 及更早版本中的对象注入漏洞,允许攻击者执行任意代码或导致拒绝服务。
如果您的系统使用了 httparty gem 0.9.0 或更早版本,则可能受到此漏洞的影响。
建议升级到 httparty gem 0.10.0 或更高版本以修复此漏洞。
虽然目前尚未观察到大规模利用,但由于其潜在的严重性,建议尽快采取缓解措施。
请参考 RubySec 官方告警:https://rubysec.com/advisories/CVE-2013-1801
上传你的 Gemfile.lock 文件,立即知道是否受影响。