Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Ruby (CVE-2017-17405)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
15/12/2017
Última modificación:
20/04/2025

Descripción

Ruby en versiones anteriores a la 2.4.3 permite la inyección de comandos Net::FTP. Net::FTP#get, getbinaryfile, gettextfile, put, putbinaryfile y puttextfile emplean Kernel#open para abrir un archivo local. Si el argumento localfile empieza por el carácter "|", el comando que lo siga se ejecutará. El valor por defecto de localfile es File.basename(remotefile), por lo que servidores FTP maliciosos podrían provocar la ejecución de comandos arbitrarios.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* 2.2 (incluyendo) 2.2.8 (incluyendo)
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* 2.3 (incluyendo) 2.3.5 (incluyendo)
cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:*:*:* 2.4 (incluyendo) 2.4.2 (incluyendo)
cpe:2.3:a:ruby-lang:ruby:2.5.0:preview1:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.5:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:7.4:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información