CISA, Ruby On Rails çerçevesinde dünya çapında web uygulamaları için önemli riskler oluşturan bir yol geçiş kırılganlığı hakkında kritik bir uyarı yayınladı.
CVE-2019-5418 olarak kataloglanan güvenlik açığı, rayların eylem görünümü bileşenini etkiler ve saldırganların özel olarak hazırlanmış kabul başlıklarını render dosyasıyla birlikte kullanmasını sağlar: hedef sunuculardaki keyfi dosyalara erişme çağrıları.
Bu güvenlik kusuru, 7 Temmuz 2025’te CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna, 28 Temmuz 2025’e kadar verilen kuruluşlarla, gerekli hafifletmeleri uygulamak veya etkilenen ürünlerin kullanımını durdurmak için eklendi.
Key Takeaways
1. CVE-2019-5418 in Ruby on Rails allows attackers to access arbitrary server files through exploited Accept headers and render file calls.
2. Enables unauthorized access to sensitive system files, configurations, and credentials via malicious HTTP Accept headers with directory traversal sequences.
3. Added to CISA's KEV catalog July 7, 2025, with a mandatory mitigation deadline of July 28, 2025, due to active exploitation.
4. Update to patched Rails versions (4.2.5.1, 5.1.6.2+), implement input validation, and follow BOD 22-01 guidance or discontinue use.
Yol geçiş güvenlik açığı
CVE-2019-5418 güvenlik açığı, Rails çerçevesinin eylem görünümü bileşenini özel olarak hedefleyen klasik bir yol geçiş saldırısı vektörünü temsil eder.
Bu güvenlik açığı, saldırganların amaçlanan dizin yapısının dışında saklanan dosyalara ve dizinlere erişmesine izin veren yol geçiş zayıf yönlerini kapsayan ortak zayıflık numaralandırma kategorisi CWE-22 altına girer.
Güvenlik açığı, uygulamalar, özellikle manipüle edilmiş HTTP kabul başlıkları aracılığıyla, kullanıcı kontrollü giriş ile birlikte render dosyasını kullandığında ortaya çıkar.
Bu istismarın teknik temeli, rayların nasıl işlediğini işleme isteklerini işlediğinde yatmaktadır.
Bir uygulama render dosyasını aradığında: yetersiz giriş doğrulaması ile saldırganlar, uygulamanın amaçlanan dosya kapsamının dışında gezinmek için ../ gibi dizin geçiş dizileri içeren kötü niyetli kabul başlıkları oluşturabilir.
Bu zayıflık, hassas sistem dosyalarına, yapılandırma dosyalarına ve sunucu dosya sisteminde depolanan potansiyel olarak veritabanı kimlik bilgilerine yetkisiz erişim sağlar.
Sömürü mekanizması, rayların amaçlanan güvenlik kontrollerini atlayan manipüle edilmiş kabul başlıkları ile özel olarak hazırlanmış HTTP isteklerinin oluşturulmasını içerir. Saldırganlar genellikle aşağıdakilere benzer kod kalıplarını uygulayan uygulamaları hedef hedefler:
Saldırı yükü, kabul başlıklarının içine gömülü yol izleme dizilerinden yararlanır, örneğin:
Bu teknik, saldırganların dizin yapısını geçmesine ve /etc /passwd, uygulama yapılandırma dosyaları ve potansiyel olarak hassas bilgiler içeren kaynak kodu dahil kritik sistem dosyalarına erişmesine olanak tanır.
Güvenlik açığının şiddeti arttırılır, çünkü daha fazla saldırı veya sistem uzlaşmasını kolaylaştırabilecek gizli verileri ortaya çıkararak keyfi dosya açıklamasına yol açabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Ruby on Rails Framework (Eylem Görünümü Bileşeni)- Raylardan Önce Sürümler 4.2.5.1- Raylardan Önce Versiyonlar 5.1.6.2 |
| Darbe | – Rasgele Dosya Açıklama- Hassas Sunucu Dosyalarına Yetkisiz Erişim |
| Önkoşuldan istismar | – Uygulama Oluşturma Dosyasını Kullanıyor: Method- Dosyada Kullanıcı Kontrollü Giriş Oluşturma Çağrıları- Kötü niyetli HTTP Kabul Başlıkları Yapma Yeteneği- Uygun Giriş Doğrulaması veya Yol Dörizasyonu Yok |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Azaltma stratejileri
CISA, federal ajansların ve kuruluşların, bulut hizmetleri için geçerli BOD 22-01 rehberliğinin ardından satıcı tarafından sağlanan hafifletmeler uyguladığını zorunlu kılmaktadır.
Birincil hafifletme, rayların yamalı versiyonlara güncellenmesini içerir: Rails 4.2.5.1, Rails 5.1.6.2 veya bu güvenlik açığını ele alan daha sonraki sürümler.
Kuruluşlar, herhangi bir dosya oluşturma işlemi için katı giriş doğrulaması uygulamalı ve işleme dosyasını kullanmaktan kaçınmalıdır: kullanıcı kontrollü parametrelerle.
Ek koruyucu önlemler arasında uygun erişim kontrollerinin uygulanması, savunmasız kalıpları tanımlamak için kapsamlı kod incelemelerinin yapılması ve yol geçiş girişimlerini algılamak ve engellemek için yapılandırılmış Web Uygulama Güvenlik Duvarlarının (WAF) dağıtılması yer alır.
Kuruluşlar ayrıca, uygulamaların en az ayrıcalık ilkesini takip etmesini, dosya sisteminin yalnızca gerekli dizinlere erişimini kısıtlamasını ve potansiyel sömürü girişimlerini tespit etmek için kapsamlı bir günlüğe uygulamasını sağlamalıdır.
28 Temmuz 2025, son tarih, özellikle Cisa’nın gerçek dünya saldırılarında aktif sömürüyü gösteren KEV kataloğuna dahil edilmesi göz önüne alındığında, bu güvenlik açığını ele almanın aciliyetini vurgulamaktadır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi