Falhas graves no Rack Ruby e Infodraw MRS
25 de Abril de 2025

Pesquisadores de cibersegurança revelaram três falhas de segurança na interface do servidor web Ruby Rack que, se exploradas com sucesso, poderiam permitir que invasores ganhassem acesso não autorizado a arquivos, injetassem dados maliciosos e adulterassem registros sob certas condições.

As vulnerabilidades, identificadas pelo fornecedor de cibersegurança OPSWAT, estão listadas a seguir:

- CVE-2025-27610 (pontuação CVSS: 7.5) - Uma vulnerabilidade de *path traversal* que poderia ser usada para acessar todos os arquivos sob o diretório raiz especificado, assumindo que um invasor consiga determinar os caminhos para esses arquivos.

- CVE-2025-27111 (pontuação CVSS: 6.9) - Uma vulnerabilidade de neutralização imprópria de sequências de retorno de carro e alimentação de linha (CRLF) e neutralização imprópria de saída para registros que poderia ser usada para manipular entradas de registros e distorcer arquivos de log.

- CVE-2025-25184 (pontuação CVSS: 5.7) - Uma vulnerabilidade de neutralização imprópria de sequências de retorno de carro e alimentação de linha (CRLF) e neutralização imprópria de saída para registros que poderia ser usada para manipular entradas de registros e injetar dados maliciosos.

A exploração bem-sucedida das falhas poderia permitir que um invasor obscurecesse traços de ataque, lesse arquivos arbitrários e injetasse código malicioso.

"Dentre essas vulnerabilidades, o CVE-2025-27610 é particularmente grave, pois poderia permitir que invasores não autenticados recuperassem informações sensíveis, incluindo arquivos de configuração, credenciais e dados confidenciais, levando a violações de dados", disse a OPSWAT em um relatório compartilhado.

A deficiência decorre do fato de que Rack::Static, um *middleware* usado para servir conteúdo estático como JavaScript, folhas de estilo e imagens, não higieniza caminhos fornecidos pelo usuário antes de servir arquivos, levando a um cenário em que um invasor pode fornecer um caminho especialmente criado para acessar arquivos fora do diretório de arquivos estáticos.

"Especificamente, quando o parâmetro :root não é explicitamente definido, o Rack assume esse valor como o diretório de trabalho atual, atribuindo-lhe o valor de Dir.pwd, designando-o implicitamente como o diretório raiz da web para a aplicação Rack", disse a OPSWAT.

Como resultado, se a opção :root estiver indefinida ou configurada incorretamente em relação à opção :urls, um invasor não autenticado poderia utilizar técnicas de path traversal para explorar o CVE-2025-27610 e acessar arquivos sensíveis fora do diretório web pretendido.

Para mitigar o risco representado pela falha, é aconselhado atualizar para a versão mais recente.

Se a correção imediata não for uma opção, recomenda-se remover o uso do Rack::Static ou garantir que o root: aponte para um caminho de diretório que contenha apenas arquivos que devem ser acessados publicamente.

Falha Crítica no Infodraw Media Relay Service A divulgação ocorre conforme um defeito de segurança crítico foi descoberto no Infodraw Media Relay Service (MRS) que permite a leitura ou exclusão de arquivos arbitrários por meio de uma vulnerabilidade de *path traversal* ( CVE-2025-43928 , pontuação CVSS: 9.8) no parâmetro de nome de usuário na página de login do sistema.

A Infodraw é uma fabricante Israelense de soluções de vigilância por vídeo móvel utilizadas para transmitir dados de áudio, vídeo e GPS através de redes de telecomunicações.

De acordo com o site da empresa, seus dispositivos são usados por aplicação da lei, investigações privadas, gerenciamento de frotas e transporte público em muitos países.

"Uma vulnerabilidade trivial de *Path Traversal* permite que se leia qualquer arquivo dos sistemas por atacantes não autenticados", disse o pesquisador de segurança Tim Philipp Schäfers em uma declaração compartilhada com a imprensa.

"Além disso, existe uma 'Vulnerabilidade de Exclusão Arbitrária de Arquivos' que permite aos atacantes deletar qualquer arquivo do sistema." A falha, que permite o login com um nome de usuário como "../../../../", afeta tanto as versões do MRS para Windows quanto para Linux.

Dito isso, o defeito de segurança continua sem correção.

Sistemas vulneráveis na Bélgica e em Luxemburgo foram retirados do ar seguindo uma divulgação responsável.

"As organizações afetadas são primeiramente aconselhadas a retirar o aplicativo do ar imediatamente (uma vez que, apesar dos avisos prévios, nenhum patch do fabricante está disponível, e considera-se possível que a vulnerabilidade seja explorada por atores maliciosos em um futuro próximo)", disse Philipp Schäfers.

Se isso não for possível, os sistemas devem ser protegidos com medidas adicionais (como usar uma VPN ou desbloqueio específico de IP).

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...