CVE-2017-0905 是 Recurly Client Ruby Library 中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞可能允许攻击者利用 Resource#find 方法发起未经授权的请求,从而可能导致敏感信息泄露。受影响的版本包括 2.3.9 及更早版本。建议立即升级至 2.3.10 或更高版本以消除此风险。
此 SSRF 漏洞的潜在影响非常严重。攻击者可以利用此漏洞发起对内部资源的请求,这些资源通常对外部网络不可见。如果攻击者能够成功利用此漏洞,他们可能能够访问 Recurly API 密钥,从而控制订阅、账单和客户数据。此外,攻击者还可以利用此漏洞扫描内部网络,寻找其他潜在漏洞。由于 Recurly 经常用于处理敏感的财务信息,因此此漏洞可能导致严重的经济损失和声誉损害。该漏洞的利用方式类似于其他 SSRF 漏洞,攻击者可以构造恶意的 URL,诱导应用程序向未经授权的服务器发送请求。
该漏洞已公开披露,并且存在公开的 PoC 代码。虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会积极寻找利用机会。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议密切监控 Recurly 集成的安全状况,并及时采取缓解措施。
Applications built with Ruby that integrate with Recurly for subscription billing are at risk. This includes e-commerce platforms, SaaS providers, and any application relying on the Recurly Client Ruby Library for managing subscriptions. Legacy applications using older versions of the library are particularly vulnerable.
• ruby / application:
require 'recurly-client'
# Check version
Recurly::Client.version• ruby / gems:
gem list recurly-client• generic web:
curl -I https://your-application.com/recurly/resource/find?url=http://internal-service• generic web:
grep -A 10 'recurly-client' Gemfiledisclosure
漏洞利用状态
EPSS
0.52% (67% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Recurly Client Ruby Library 升级至 2.3.10 或更高版本。如果升级会导致应用程序中断,可以考虑暂时禁用 Resource#find 方法,或者限制其可以访问的 URL 范围。此外,可以实施 Web 应用程序防火墙 (WAF) 或代理服务器,以过滤掉恶意的请求。确保 Recurly API 密钥具有适当的权限,并定期轮换密钥。升级后,请验证新版本是否已正确安装,并且 Resource#find 方法不再容易受到 SSRF 攻击。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2017-0905 是 Recurly Client Ruby Library 中的一个服务器端请求伪造 (SSRF) 漏洞,可能导致敏感信息泄露。
如果您正在使用 Recurly Client Ruby Library 的版本低于 2.3.10,则您可能受到此漏洞的影响。
请立即将 Recurly Client Ruby Library 升级至 2.3.10 或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,攻击者可能会积极寻找利用机会。
请访问 Recurly 的安全公告页面,以获取有关此漏洞的更多信息:[https://recurly.com/security/](https://recurly.com/security/)
上传你的 Gemfile.lock 文件,立即知道是否受影响。