Los investigadores de seguridad cibernética han revelado tres fallas de seguridad en la interfaz del servidor web de Rack Ruby que, si se explotan con éxito, podrían permitir a los atacantes obtener acercamiento no facultado a archivos, inyectar datos maliciosos y manipular los registros bajo ciertas condiciones.
Las vulnerabilidades, marcadas por el proveedor de ciberseguridad Opswat, se enumeran a continuación –
- CVE-2025-27610 (Puntuación CVSS: 7.5): una vulnerabilidad de transversión de ruta que podría estilarse para obtener acercamiento a todos los archivos en el directorio Root: Directorio especificado, suponiendo que un atacante pueda determinar las rutas a esos archivos
- CVE-2025-27111 (Puntuación CVSS: 6.9): una neutralización incorrecta de las secuencias de la columna de retorno de carro (CRLF) y la neutralización de salida incorrecta para la vulnerabilidad de registros que podrían estilarse para manipular entradas de registro y distorsionar archivos de registro
- CVE-2025-25184 (Puntuación CVSS: 5.7): una neutralización incorrecta de las secuencias de la columna de retorno de carro (CRLF) y la neutralización de salida inadecuada para la vulnerabilidad de registros que podrían estilarse para manipular entradas de registro e inyectar datos maliciosos
La explotación exitosa de los defectos podría permitir que un atacante oscurezca rastros de ataque, lea archivos arbitrarios e inyecte código pillo.
“Entre estas vulnerabilidades, CVE-2025-27610 es particularmente severo, ya que podría permitir a los atacantes no autenticados recuperar información confidencial, incluidos archivos de configuración, credenciales y datos confidenciales, lo que lleva a infracciones de datos”, dijo Opswat en un mensaje compartido con Hacker News.
La deficiencia se debe al hecho de que Rack :: Static, un middleware que se usa para servir contenido asombrado como JavaScript, Styles Hheets e Images, no desinfecta las rutas suministradas por los usuarios antaño de servir archivos, lo que lleva a un marco en el que un atacante puede proporcionar una ruta especialmente diseñada para ingresar a los archivos fuera del directorio de archivos estatales.
“Específicamente, cuando el parámetro: Root no está definido explícitamente, Rack predetermina este valencia al directorio de trabajo contemporáneo al asignarle el valencia de Dir.pwd, designándolo implícitamente como el directorio raíz web para la aplicación Rack”, dijo Opswat.
Como resultado, si la opción: raíz no está indefinida o mal configurada en relación con la opción: URLS, un atacante no autenticado podría armarse CVE-2025-27610 a través de técnicas de repaso de ruta para ingresar a archivos confidenciales fuera del directorio web previsto.
Para mitigar el peligro que plantea el defecto, se recomienda refrescar la última lectura. Si el parche inmediato no es una opción, se recomienda eliminar el uso de rack :: static, o cerciorarse de que root: puntos en una ruta de directorio que solo contiene archivos a los que se debe ingresar públicamente.
Flaw crítico en el servicio de retransmisión de medios de Infodraw
La divulgación se produce cuando un defecto de seguridad crítico se ha desenterrado en el Servicio de Relémetro de Medios InfodRaw (MRS) que permite la repaso o la aniquilación de archivos arbitrarios a través de una vulnerabilidad transversal de ruta (CVE-2025-43928, CVSS puntaje: 9.8) en el parámetro de nombre de usufructuario en la página del inicio del sistema del sistema.
Infodraw es un fabricante israelí de soluciones de videovigilancia móvil que se utilizan para transmitir datos de audio, video y GPS a través de redes de telecomunicaciones. Según el sitio web de la compañía, sus dispositivos son utilizados por la aplicación de la ley, las investigaciones privadas, la papeleo de la flota y el transporte conocido en muchos países.
“Una vulnerabilidad transversal de ruta trivial le permite acertar cualquier archivo de sistemas para atacantes no autenticados”, dijo el investigador de seguridad Tim Philipp Schäfers en un comunicado compartido con Hacker News. “Encima, existe una ‘vulnerabilidad arbitraria de aniquilación de archivos’ que permite a los atacantes eliminar cualquier archivo del sistema”.
El defecto, que permite iniciar sesión con un nombre de usufructuario como “../../../../,”, afecta tanto a las versiones de Windows como a Linux de la Sra. Dicho esto, el defecto de seguridad continúa sin parches. Los sistemas vulnerables en Bélgica y Luxemburgo se han desconectado luego de la divulgación responsable.
“Se aconseja principalmente a las organizaciones afectadas que saquen la aplicación fuera de columna inmediatamente (ya que, a pesar de las advertencias tempranas, no hay un parche de fabricante habitable, y se considera posible que la vulnerabilidad sea explotada por actores maliciosos en el futuro cercano)”, dijo Philipp Schäfers.
“Si esto no es posible, los sistemas deben guarecerse aún más con medidas adicionales (como usar una VPN o desbloqueo de IP específico)”.
