Vulnerabilidade de injeção de argumento em biblioteca de manipulação de imagens afeta sistemas de gerenciamento de conteúdo
Pesquisadores de segurança rastrearam uma vulnerabilidade de injeção de argumento em sistemas de gerenciamento de conteúdo (CMS) para falhas no Ruby Gem Dragonfly, uma biblioteca de manipulação de imagens. A consultoria de segurança da Nova Zelândia, ZX Security, descobriu o problema depois de encontrar problemas nas configurações do Refinery CMS ao realizar avaliações de segurança para um cliente.
Os pesquisadores subsequentemente descobriram que outros sistemas de gerenciamento de conteúdo que contam com a mesma biblioteca vulnerável do Dragonfly – incluindo Locomotive CMS e Alchemy CMS – também estavam em risco. A falha permitia explorações, incluindo leitura de arquivo arbitrário, gravação de arquivo arbitrário e (em condições favoráveis) execução remota de código. Um artigo técnico da ZX Security explica o problema com mais detalhes.
A biblioteca Dragonfly lida com funções como gerar miniaturas de imagens e imagens de texto ou apenas gerenciar anexos em geral. Vulnerabilidades de injeção de argumento são uma classe de ataque que significa que entradas não confiáveis podem ser passadas como argumentos durante a execução de um comando específico. A fragilidade da segurança define o cenário para a execução de injeção de recomendação de sistema operacional e ataques semelhantes. Atualizar o Dragonfly Ruby Gem para 1.4.0 ou superior atenuaria esse problema. Como alternativa, garantir que a opção padrão do Dragonfly verify_urls esteja habilitada oferece uma mitigação efetiva, de acordo com a ZX Security.
Fonte: https://portswigger.net/
