Los investigadores de seguridad cibernética han revelado tres fallas de seguridad en la interfaz del servidor web de Rack Ruby que, si se explotan con éxito, podrían permitir a los atacantes obtener acceso no autorizado a archivos, inyectar datos maliciosos y manipular los registros bajo ciertas condiciones.
Las vulnerabilidades, marcadas por el proveedor de ciberseguridad Opswat, se enumeran a continuación –
- CVE-2025-27610 (Puntuación CVSS: 7.5): una vulnerabilidad de transversión de ruta que podría usarse para obtener acceso a todos los archivos en el directorio Root: Directorio especificado, suponiendo que un atacante pueda determinar las rutas a esos archivos
- CVE-2025-27111 (Puntuación CVSS: 6.9): una neutralización incorrecta de las secuencias de la línea de retorno de carro (CRLF) y la neutralización de salida incorrecta para la vulnerabilidad de registros que podrían usarse para manipular entradas de registro y distorsionar archivos de registro
- CVE-2025-25184 (Puntuación CVSS: 5.7): una neutralización incorrecta de las secuencias de la línea de retorno de carro (CRLF) y la neutralización de salida inadecuada para la vulnerabilidad de registros que podrían usarse para manipular entradas de registro e inyectar datos maliciosos
La explotación exitosa de los defectos podría permitir que un atacante oscurezca rastros de ataque, lea archivos arbitrarios e inyecte código malicioso.
«Entre estas vulnerabilidades, CVE-2025-27610 es particularmente severo, ya que podría permitir a los atacantes no autenticados recuperar información confidencial, incluidos archivos de configuración, credenciales y datos confidenciales, lo que lleva a infracciones de datos», dijo Opswat en un informe compartido con Hacker News.
La deficiencia se debe al hecho de que Rack :: Static, un middleware que se usa para servir contenido estático como JavaScript, Styles Hheets e Images, no desinfecta las rutas suministradas por los usuarios antes de servir archivos, lo que lleva a un escenario en el que un atacante puede proporcionar una ruta especialmente diseñada para acceder a los archivos fuera del directorio de archivos estatales.
«Específicamente, cuando el parámetro: Root no está definido explícitamente, Rack predetermina este valor al directorio de trabajo actual al asignarle el valor de Dir.pwd, designándolo implícitamente como el directorio raíz web para la aplicación Rack», dijo Opswat.
Como resultado, si la opción: raíz no está indefinida o mal configurada en relación con la opción: URLS, un atacante no autenticado podría armarse CVE-2025-27610 a través de técnicas de recorrido de ruta para acceder a archivos confidenciales fuera del directorio web previsto.
Para mitigar el riesgo que plantea el defecto, se recomienda actualizar la última versión. Si el parche inmediato no es una opción, se recomienda eliminar el uso de rack :: static, o asegurarse de que root: puntos en una ruta de directorio que solo contiene archivos a los que se debe acceder públicamente.
Flaw crítico en el servicio de retransmisión de medios de Infodraw
La divulgación se produce cuando un defecto de seguridad crítico se ha desenterrado en el Servicio de Relémetro de Medios InfodRaw (MRS) que permite la lectura o la eliminación de archivos arbitrarios a través de una vulnerabilidad transversal de ruta (CVE-2025-43928, CVSS puntaje: 9.8) en el parámetro de nombre de usuario en la página del inicio del sistema del sistema.
Infodraw es un fabricante israelí de soluciones de videovigilancia móvil que se utilizan para transmitir datos de audio, video y GPS a través de redes de telecomunicaciones. Según el sitio web de la compañía, sus dispositivos son utilizados por la aplicación de la ley, las investigaciones privadas, la gestión de la flota y el transporte público en muchos países.
«Una vulnerabilidad transversal de ruta trivial le permite leer cualquier archivo de sistemas para atacantes no autenticados», dijo el investigador de seguridad Tim Philipp Schäfers en un comunicado compartido con Hacker News. «Además, existe una ‘vulnerabilidad arbitraria de eliminación de archivos’ que permite a los atacantes eliminar cualquier archivo del sistema».
El defecto, que permite iniciar sesión con un nombre de usuario como «../../../../,», afecta tanto a las versiones de Windows como a Linux de la Sra. Dicho esto, la falla continúa sin parches. Los sistemas vulnerables en Bélgica y Luxemburgo se han desconectado después de la divulgación responsable.
«Se aconseja principalmente a las organizaciones afectadas que saquen la aplicación fuera de línea inmediatamente (ya que, a pesar de las advertencias tempranas, no hay un parche de fabricante disponible, y se considera posible que la vulnerabilidad sea explotada por actores maliciosos en el futuro cercano)», dijo Philipp Schäfers.
«Si esto no es posible, los sistemas deben protegerse aún más con medidas adicionales (como usar una VPN o desbloqueo de IP específico)».