Siber güvenlik araştırmacıları, raf Ruby Web sunucusu arayüzünde, başarılı bir şekilde kullanılırsa, saldırganların dosyalara yetkisiz erişim elde etmesini, kötü niyetli veriler enjekte etmesini ve belirli koşullar altında günlüklere kurcalamalarını sağlayabilecek üç güvenlik kusuru açıkladılar.
Siber güvenlik satıcısı Opswat tarafından işaretlenen güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-27610 (CVSS Puanı: 7.5) – Belirtilen kök altındaki tüm dosyalara erişmek için kullanılabilecek bir yol geçiş güvenlik açığı: Dizin, bir saldırganın bu dosyalara giden yolları belirleyebileceği varsayılarak
- CVE-2025-27111 (CVSS Skoru: 6.9) – Taşıma Dönüş Hattı beslemelerinin (CRLF) dizilerinin uygunsuz bir nötralizasyonu ve günlük girişlerini manipüle etmek ve günlük dosyalarını bozmak için kullanılabilecek günlük güvenlik açığı için yanlış çıkış nötralizasyonu
- CVE-2025-25184 (CVSS Skoru: 5.7) – Taşıma Dönüş hattı beslemelerinin (CRLF) dizilerinin uygunsuz bir nötralizasyonu ve günlük girişlerini manipüle etmek ve kötü niyetli verileri enjekte etmek için kullanılabilecek günlük güvenlik açığı için yanlış çıkış nötralizasyonu
Kusurların başarılı bir şekilde kullanılması, bir saldırganın saldırı izlerini gizlemesine, keyfi dosyaları okumasına ve kötü niyetli kodlar enjekte etmesine izin verebilir.
Opswat, “Bu güvenlik açıkları arasında, CVE-2025-27610, kimlik doğrulanmamış saldırganların yapılandırma dosyaları, kimlik bilgileri ve gizli veriler de dahil olmak üzere hassas bilgileri almalarını sağlayabilmesi için özellikle şiddetlidir.” Dedi.
Kaçak, javascript, stil sayfaları ve görüntüler gibi statik içerik sunmak için kullanılan bir ara katman yazılımı olan Rack :: Static’in dosyaları servis etmeden önce kullanıcı tarafından sağlanan yolları sterilize etmemesi ve bir saldırganın statik dosya dizininin dışında erişim dosyalarına özel olarak hazırlanmış bir yol sağlayabileceği gerçeğinden kaynaklanıyor.
Opswat, “Özellikle,: kök parametresi açıkça tanımlanmadığında, raf bu değeri, raf uygulaması için Web kök dizini olarak dolaylı olarak belirleyerek dir.pwd değerini atayarak geçerli çalışma dizinine varsayılan olarak varsayılan olarak.” Dedi.
Sonuç olarak,: Kök seçeneği: URLS seçeneğine göre tanımsız veya yanlış yapılandırılmışsa, kimlik doğrulanmamış bir saldırgan, hedeflenen web dizininin dışındaki hassas dosyalara erişmek için yol traversal teknikleri aracılığıyla CVE-2025-27610’u silahlandırabilir.
Kusurun yarattığı riski azaltmak için en son sürüme güncellenmesi önerilir. Hemen yama bir seçenek değilse, raf :: statik kullanımının kullanımını kaldırmanız veya kök: yalnızca herkese açık olarak erişilmesi gereken dosyaları içeren bir dizin yolunda işaret etmeniz önerilir.
Infodraw Medya Röle Hizmetinde Kritik Kusur
Açıklama, Infodraw Media Relay Hizmetinde (MRS), sistemin giriş sayfasında kullanıcı adı parametresinde bir yol geçiş güvenlik açığı (CVE-2025-43928, CVSS skoru: 9.8) yoluyla keyfi dosyaların okunmasına veya silinmesine izin veren kritik bir güvenlik kusuru olarak ortaya çıkar.
Infodraw, telekomünikasyon ağları üzerinden ses, video ve GPS verilerini iletmek için kullanılan bir İsrail mobil video gözetim çözümleri üreticisidir. Şirketin web sitesine göre, cihazları birçok ülkede kolluk kuvvetleri, özel soruşturmalar, filo yönetimi ve toplu taşıma tarafından kullanılmaktadır.
Güvenlik araştırmacısı Tim Philipp Schäfers, Hacker News ile paylaşılan bir açıklamada, “Önemsiz bir yol geçiş güvenlik açığı, kimlik doğrulanmamış saldırganlar için sistemlerden herhangi bir dosyayı okumasına izin veriyor.” Dedi. “Ayrıca, saldırganların sistemden herhangi bir dosyayı silmesine izin veren bir ‘keyfi dosya silme kırılganlığı’ mevcuttur.”
“../../../../” gibi bir kullanıcı adıyla oturum açmayı sağlayan kusur, MRS’nin hem Windows hem de Linux sürümlerini etkiler. Bununla birlikte, kusur açılmaya devam ediyor. Belçika ve Lüksemburg’daki savunmasız sistemler sorumlu açıklamanın ardından çevrimdışı olarak alınmıştır.
Philipp Schäfers, “Etkilenen kuruluşların öncelikle uygulamayı hemen çevrimdışı almaları tavsiye edilir (çünkü erken uyarılara rağmen, üretici yaması mevcut değildir ve kırılganlığın yakın gelecekte kötü niyetli aktörler tarafından kullanılması mümkün olarak kabul edilir).” Dedi.
“Bu mümkün değilse, sistemler ek önlemlerle daha fazla korunmalıdır (VPN veya belirli IP kilidini kullanma gibi).”