Araştırmacılar, çoğu Ruby web uygulama çerçevesi (Ruby on Rails, Sinatra, Hanami, Roda ve diğerleri) tarafından kullanılan bir sunucu arayüzü olan rafta üç ciddi güvenlik açığını ortaya çıkardılar.
Kusurlardan ikisi-CVE-2025-25184 ve CVE-2025-27111-saldırganların günlük içeriğini ve girişlerini manipüle etmesine izin verirken, üçüncüsü CVE-2025-27610-saldırganların hassas bilgilere yetkisiz erişim kazanmasına izin verebilecek bir yol geçirme kırılganlığıdır.
CVE-2025-27610 HAKKINDA
Rack, web sunucularının ve yakut web uygulamalarının iletişim kurması için standart bir yol sağlar ve işletmeler ve tüketiciler tarafından kullanılan birçok web uygulamasının temel bir bileşenidir.
Ruby mücevher (yani yeniden kullanılabilir Ruby kod paketi) olarak mevcuttur.
Opswat araştırmacıları Thai Do ve Minh Pham üç güvenlik açığını buldular ve CVE-2025-27610’u en şiddetli olarak seçtiler.
Bu güvenlik açığı Raf :: Statik Middleware, raf uygulamaları tarafından Ruby Web uygulamalarında statik dosyalar ve içerik sunmak için kullanılır.
Güvenlik açığının potansiyelini göstermek için, araştırmacılar Minh Pham ve Thai, Rack sürüm 3.1.10 kullanan yakut tabanlı bir web uygulaması geliştirdiler ve uygulamanın açıkça tanımlamadığı senaryolarda kök: Seçenek, kimlik doğrulanmamış bir saldırgan, belirlenen statik dosya dizininin dışında bulunan dosyalara erişebilir.
Bu dosyalar yapılandırma dosyalarını, kimlik bilgilerini ve diğer gizli verileri içerebilir, ancak bir uyarı vardır: Dosyalara erişmek için saldırgan yollarını belirleyebilmelidir.
“Teoride, CVE-2025-27610’dan yararlanmak, her bir web uygulaması için önemli yük değişiklikleri gerektirmez, çünkü bu bir yol geçiş güvenlik açığıdır. Saldırganların, URL’yi müşteri tarafından manipüle ederek web sunucusundaki dosyalara yetkisiz erişim elde etmelerini sağlar,” Bang Do, üst düzey qa yönetmeni, opswat’teki ürün mühendisliği, yardım net güvenliği.
“Bu güvenlik açığının etkisi, erişilen dosyaların içeriğine bağlıdır. Örneğin, dosyalar veritabanı sunucuları veya diğer kritik sunucular için gizli anahtarlar içeriyorsa, saldırganlar müşterinin ortamına daha derin bir şekilde sızabilir ve ek kaynaklara erişebilir.”
Ne yapalım?
Opswat, “Küresel olarak bir milyardan fazla indirme ile rafın yaygın küresel olarak benimsenmesi, yakut geliştirme ekosistemindeki ayrılmaz rolünü vurgulamaktadır” dedi.
Üç güvenlik açığı düzeltildi ve geliştiricilere, yakut uygulamalarında kullanılan raf versiyonunu yamalı bir sürüme yükseltmeleri tavsiye ediliyor: 2.2.13 veya daha yüksek, 3.0.14 veya daha yüksek veya 3.1.12 veya daha yüksek.
Alternatif olarak, CVE-2025-27610, kullanımı kaldırılarak hafifletilebilir. Raf :: Statik veya bunu sağlayarak kök: Yalnızca herkese açık olarak erişilmesi gereken dosyaları içeren bir dizin yoluna işaret eder.
CVE-2025-27111, kullanımını ortadan kaldırarak hafifletilebilir. Raf :: Sendfile ara katman yazılımı.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!