平台
ruby
组件
paperclip
修复版本
5.2.0
CVE-2017-0889 是 Paperclip Ruby gem 中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞存在于 Paperclip::UriAdapter 类中,允许攻击者访问内部网络资源。此漏洞影响 Paperclip gem 版本小于或等于 5.1.0 的用户。建议升级至 5.2.0 版本以解决此问题。
攻击者可以利用此 SSRF 漏洞,通过 Paperclip gem 访问内部网络资源,这些资源通常对外部用户不可见。这可能导致敏感信息的泄露,例如内部服务器的配置信息、数据库凭据,甚至可能允许攻击者执行恶意代码。攻击者可以利用此漏洞扫描内部网络,寻找其他潜在的漏洞。由于 Paperclip gem 广泛应用于 Ruby on Rails 应用中,因此该漏洞的潜在影响范围非常广泛。
该漏洞已公开披露,并且存在公开的 PoC 代码。目前尚无关于该漏洞被大规模利用的报告,但由于其严重性和易于利用性,建议尽快修复。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。
Applications that rely on the Paperclip gem for file handling and image processing are at risk. This includes websites and web applications that allow users to upload files, particularly those that do not adequately validate the URLs used in the file processing pipeline. Ruby on Rails applications are particularly susceptible due to Paperclip's widespread adoption within the framework.
• ruby / gem: Check gem versions using gem list. Look for versions <= 5.1.0.
gem list paperclip• ruby / application: Examine application code for instances where Paperclip is used to process user-supplied URLs. • generic web: Monitor application logs for unusual outbound requests to internal network addresses. • generic web: Implement rate limiting on URL processing to detect potential SSRF attempts.
disclosure
漏洞利用状态
EPSS
0.34% (57% 百分位)
CVSS 向量
最有效的缓解措施是升级 Paperclip Ruby gem 至 5.2.0 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意的 HTTP 请求,阻止攻击者利用 SSRF 漏洞。此外,可以限制 Paperclip gem 访问的内部网络资源,只允许其访问必要的资源。检查 Paperclip gem 的配置,确保 URIAdapter 类没有被错误地配置,导致其可以访问不应该访问的资源。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2017-0889 是 Paperclip Ruby gem 的 URIAdapter 类中的一个服务器端请求伪造 (SSRF) 漏洞,允许攻击者访问内部网络资源。
如果您正在使用 Paperclip Ruby gem 的版本小于或等于 5.1.0,则您可能受到此漏洞的影响。
升级 Paperclip Ruby gem 至 5.2.0 或更高版本以修复此漏洞。
虽然目前没有大规模利用的报告,但由于其严重性和易于利用性,建议尽快修复。
请查阅 Paperclip gem 的官方 GitHub 仓库或 RubyGems.org 获取更多信息。
上传你的 Gemfile.lock 文件,立即知道是否受影响。