Cybersecurity -onderzoekers hebben drie beveiligingsfouten in de RACK Ruby Web Server -interface bekendgemaakt die, indien met succes benutten, aanvallers in staat zou kunnen stellen om ongeautoriseerde toegang tot bestanden te krijgen, kwaadaardige gegevens te injecteren en met logboeken onder bepaalde voorwaarden te knoeien.
De kwetsbaarheden, gemarkeerd door cybersecurity -leverancier OpSwat, worden hieronder vermeld –
- CVE-2025-27610 (CVSS -score: 7.5) – Een kwetsbaarheid van de padverweging die kan worden gebruikt om toegang te krijgen tot alle bestanden onder de opgegeven root: map, ervan uitgaande dat een aanvaller de paden naar die bestanden kan bepalen
- CVE-2025-27111 (CVSS SCORE: 6.9) – Een onjuiste neutralisatie van reeksen (CRLF) reeksen (CRLF) en onjuiste uitvoerneutralisatie voor logs -kwetsbaarheid die kan worden gebruikt om logboekitries te manipuleren en logbestanden te vervormen
- CVE-2025-25184 (CVSS SCORE: 5.7) – Een onjuiste neutralisatie van reeksen (CRLF) reeksen (CRLF) en onjuiste uitvoerneutralisatie voor logs -kwetsbaarheid die kan worden gebruikt om logboekitries te manipuleren en kwaadaardige gegevens te injecteren
Succesvolle exploitatie van de gebreken kan een aanvaller toestaan om aanvalssporen te verdoezelen, willekeurige bestanden te lezen en kwaadaardige code te injecteren.
“Onder deze kwetsbaarheden is CVE-2025-27610 bijzonder ernstig, omdat het niet-geauthenticeerde aanvallers in staat zou kunnen zijn om gevoelige informatie op te halen, inclusief configuratiebestanden, referenties en vertrouwelijke gegevens, wat leidt tot datalekjes,” zei Opswat in een rapport gedeeld met de Hacker News.
De tekortkoming komt voort uit het feit dat Rack :: Static, een middleware die wordt gebruikt om statische inhoud te bedienen, zoals JavaScript, Stylesheets en afbeeldingen, geen door de gebruiker geleverde paden saneren voordat ze bestanden bedienen, wat leidt tot een scenario waar een aanvaller een speciaal vervaardigd pad kan bieden om toegang te krijgen tot bestanden buiten de statische bestandsleider.
“Specifiek, wanneer de: root -parameter niet expliciet is gedefinieerd, rack rack deze waarde in standaard voor de huidige werkmap door deze de waarde van DIR.PWD toe te wijzen, impliciet aan te wijzen als de Web Root Directory voor de racktoepassing,” zei Opswat.
Als gevolg hiervan, als de: root-optie niet gedefinieerd of verkeerd is geconfigureerd ten opzichte van de: URLS-optie, kan een niet-geauthenticeerde aanvaller CVE-2025-27610 schenken via pad-traversale technieken om toegang te krijgen tot gevoelige bestanden buiten de beoogde webmap.
Om het risico van de fout te verminderen, wordt geadviseerd om de nieuwste versie bij te werken. Als onmiddellijke patching geen optie is, wordt het aanbevolen om het gebruik van rack :: statisch te verwijderen of ervoor te zorgen dat root: punten op een mappad dat alleen bestanden bevat die openbaar moeten worden toegankelijk.
Kritische fout in Infodraw Media Relay Service
De openbaarmaking komt als een kritisch beveiligingsdefect is opgegraven in de Infodraw Media Relay Service (MRS) die het lezen of verwijderen van willekeurige bestanden mogelijk maakt via een Path Traversal-kwetsbaarheid (CVE-2025-43928, CVSS-score: 9.8) in de gebruikersnaamparameter in de loginepagina van het systeem.
Infodraw is een Israëlische maker van mobiele videobewakingsoplossingen die worden gebruikt om audio-, video- en GPS -gegevens over telecommunicatienetwerken te verzenden. Volgens de website van het bedrijf worden de apparaten gebruikt door wetshandhaving, privé -onderzoeken, vlootbeheer en openbaar vervoer in veel landen.
“Een triviaal padverwijkingsverwanciële kwetsbaarheid stelt het in staat om elk bestand van systemen voor niet -geauthenticeerde aanvallers te lezen,” zei beveiligingsonderzoeker Tim Philipp Schäfers in een verklaring gedeeld met The Hacker News. “Verder bestaat er een ‘willekeurige kwetsbaarheid voor het verwijderen van bestanden waarmee aanvallers elk bestand uit het systeem kunnen verwijderen.’
De fout, die login mogelijk maakt met een gebruikersnaam zoals “../../../../ …”, beïnvloedt zowel Windows- als Linux -versies van MRS. Dat gezegd hebbende, blijft de fout ongecontroleerd. Kwetsbare systemen in België en Luxemburg zijn offline gehaald na verantwoorde openbaarmaking.
“Getroffen organisaties worden in de eerste plaats geadviseerd om de aanvraag onmiddellijk offline te nemen (omdat, ondanks vroege waarschuwingen, geen fabrikant -patch beschikbaar is en het mogelijk wordt geacht dat de kwetsbaarheid in de nabije toekomst door kwaadaardige actoren zal worden benut door kwaadaardige actoren),” zei Philipp Schäfers.
“Als dit niet mogelijk is, moeten systemen verder worden beschermd met aanvullende maatregelen (zoals het gebruik van een VPN of specifieke IP -ontgrendeling).”
