Araştırmacılar Thai Do ve Minh Pham, bir milyardan fazla küresel indirme ile yakut tabanlı web uygulamalarının temel taşı olan Raf Ruby Framework’te birden fazla kritik güvenlik açığı ortaya koydu.
CVE-2025-25184, CVE-2025-27111 ve CVE-2025-27610 olarak tanımlanan bu kusurlar, Ruby on Rails ve Sinatra gibi çerçeveler üzerine inşa edilmiş uygulamalar için önemli riskler oluşturmaktadır.
Web sunucuları ve yakut uygulamaları arasında modüler bir arayüz olarak hareket eden raf, HTTP isteğini ve yanıt kullanmayı standartlaştırarak, güvenlik açıkları ortaya çıktığında yaygın olarak benimsenmesini çift kenarlı bir kılıç haline getirir.
.png
)
Keşfedilen sorunlar arasında, CVE-2025-25184 ve CVE-2025-27111, saldırganların sırasıyla CRLF (taşıma dönüş hattı beslemesi) enjeksiyonu ve kötü niyetli başlık değerleri aracılığıyla log içeriğini manipüle etmelerini sağlarken, CVE-2025-27610, yol ytayı yoluyla kolay olmayan dosya erişimi potansiyeli nedeniyle özellikle şiddetli olarak öne çıkıyor.
CVE-2025-27610’a derin dalış: Yol geçiş tehdidi
Bu güvenlik açıklarının en endişe verici olan Minh Pham tarafından tanımlanan CVE-2025-27610, Rafta :: Static, Ruby uygulamalarında görüntüler ve CSS gibi statik dosyalar sunmak için kullanılan bir ara katman yazılımı bileşenidir.
7.5’lik bir CVSS puanı atandı ve yüksek şiddetli bir risk olarak işaretledi, bu güvenlik açığı: Raf :: Statik konfigürasyonlardaki kök seçeneğinin uygunsuz şekilde ele alınmasından kaynaklanır.
: Dosyaları servis etmek için temel dizinini tanımlamak için kök parametre amaçlı ne zaman, açıkça ayarlanmamış, Rack varsayılan olarak geçerli çalışma dizine (DIR.PWD).
Rapora göre, bu gözetim, yeterli girdi validasyonu eksikliğiyle birleştiğinde, saldırganların bir HTTP isteğinin path_info içinde dizin geçiş dizileri (örneğin, “../”) kullanarak kötü niyetli istekler oluşturmalarına izin veriyor.
Bunu kullanarak, kimliksiz saldırganlar, hedeflenen dizin dışındaki hassas dosyalara erişebilir, potansiyel olarak yapılandırma verilerini, kimlik bilgilerini veya diğer gizli bilgileri alarak ciddi veri ihlallerine yol açabilir.
Minh Pham’ın Rack’in kaynak kodu analizi, ara katman yazılımının kullanıcı tarafından sağlanan yolları, uygun normalizasyon veya dezenfektan olmadan kök dizinle birleştirdiğini ve net bir sömürü yolu oluşturduğunu ortaya koydu.
Bu güvenlik açığının etkisi, rafın çok sayıda yakut ekosistemine entegrasyonu ile güçlendirilir; burada yanlış yapılandırmalar veya şunların ayarlanmasında eksiklikler nadir değildir.
Rack sürüm 3.1.10’da geliştirilen bir kavram kanıtı, saldırganların kısıtlı dosyalara erişmek için bu kusurdan nasıl yararlanabileceğini ve bu sorunu ele almanın aciliyetinin altını çizdiğini gösterdi.
Bu arada, sırasıyla Thai Do ve Minh Pham tarafından keşfedilen CVE-2025-25184 ve CVE-2025-27111, adli araştırmalar sırasında kötü niyetli faaliyetleri gizleyebilen veya yanıltıcı yöneticileri gizleyebilen, genellikle göz ardı edilen bir saldırı vektörü-log enjeksiyonuna ve manipülasyona izin vererek ek tehditler oluşturur.
Bu güvenlik açıklarının birleşik etkisi, geliştiricilerin raf yapılandırmalarını incelemeleri ve hafifletme önlemleri uygulamaları için acil bir ihtiyaca vurgulamaktadır.
Bu kusurların yama yapılması, güvenli kök dizinlerini açıkça tanımlamak ve katı giriş validasyonu uygulamak, uygulamaları korumak için kritik adımlardır.
Ruby topluluğu potansiyel istismarlar için parantez olarak, bu keşif, tek bir gözetim dünya çapında sayısız sistemde dalgalanabileceği raf gibi yaygın olarak benimsenen çerçevelerde titiz güvenlik uygulamalarının önemini açık bir hatırlatma görevi görür.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!