製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

CarrierWave におけるサーバサイドのリクエストフォージェリの脆弱性

タイトル	CarrierWave におけるサーバサイドのリクエストフォージェリの脆弱性
概要	CarrierWave には、サーバサイドのリクエストフォージェリの脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年2月8日0:00
登録日	2021年10月29日17:47
最終更新日	2021年10月29日17:47

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS2.0 : 警告
スコア	4
ベクター	AV:N/AC:L/Au:S/C:P/I:N/A:N

影響を受けるシステム

CarrierWave project

CarrierWave 1.3.2 未満

CarrierWave 2.1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-21288	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21288
National Vulnerability Database (NVD)
2	CVE-2021-21288	https://nvd.nist.gov/vuln/detail/CVE-2021-21288

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	名前	URL
GitHub
1	Carrierwave History/Changelog#132---2021-02-08	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#132---2021-02-08
2	Carrierwave History/Changelog#211---2021-02-08	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#211---2021-02-08
3	Fix SSRF vulnerability in the remote file download feature	https://github.com/carrierwaveuploader/carrierwave/commit/012702eb3ba1663452aa025831caa304d1a665c0
4	SSRF vulnerability in CarrierWave remote file upload	https://github.com/carrierwaveuploader/carrierwave/security/advisories/GHSA-fwcm-636p-68r5
RubyGems
5	carrierwave 2.2.2	https://rubygems.org/gems/carrierwave/

変更履歴

No	変更内容	変更日
1	[2021年10月29日] 掲載	2021年10月29日17:47

NVD脆弱性情報

CVE-2021-21288

概要	CarrierWave is an open-source RubyGem which provides a simple and flexible way to upload files from Ruby applications. In CarrierWave before versions 1.3.2 and 2.1.1 the download feature has an SSRF vulnerability, allowing attacks to provide DNS entries or IP addresses that are intended for internal use and gather information about the Intranet infrastructure of the platform. This is fixed in versions 1.3.2 and 2.1.1.
公表日	2021年2月9日5:15
登録日	2021年2月9日10:01
最終更新日	2024年11月21日14:47

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:carrierwave_project:carrierwave::::::ruby::*		2.0.1			2.1.1
cpe:2.3:a:carrierwave_project:carrierwave::::::ruby::*					1.3.2

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#132---2021-02-08		Release Notes Third Party Advisory
2	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#132---2021-02-08		Release Notes Third Party Advisory
3	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#211---2021-02-08		Release Notes Third Party Advisory
4	https://github.com/carrierwaveuploader/carrierwave/blob/master/CHANGELOG.md#211---2021-02-08		Release Notes Third Party Advisory
5	https://github.com/carrierwaveuploader/carrierwave/commit/012702eb3ba1663452aa025831caa304d1a665c0		Patch Third Party Advisory
6	https://github.com/carrierwaveuploader/carrierwave/commit/012702eb3ba1663452aa025831caa304d1a665c0		Patch Third Party Advisory
7	https://github.com/carrierwaveuploader/carrierwave/security/advisories/GHSA-fwcm-636p-68r5		Third Party Advisory
8	https://github.com/carrierwaveuploader/carrierwave/security/advisories/GHSA-fwcm-636p-68r5		Third Party Advisory
9	https://rubygems.org/gems/carrierwave/		Product Third Party Advisory
10	https://rubygems.org/gems/carrierwave/		Product Third Party Advisory

共通脆弱性一覧