Ein kritischer Sicherheitsfehler im RubyGems-Paket graphql wurde von rmosolgo vor 5 Tagen unter der Kennung GHSA-q92j-grw3-h492 veröffentlicht. Die Schwachstelle betrifft alle Versionen größer als 1.11.5 und ermöglicht es einem Angreifer, beim Laden eines speziell präparierten GraphQL-Schemas beliebigen Code remote auszuführen.
Der Exploit ist möglich, wenn ein System ein Schema mittels der Methoden GraphQL::Schema.from_introspection oder GraphQL::Schema::Loader.load aus einer JSON-Darstellung lädt. Da die Implementierung keinen ausreichenden Schutz vor bösartigen Schema-Definitionen bietet, können Angreifer durch das Laden einer manipulierten Schema-Definition Remote Code Execution (RCE) auslösen.
Betroffen sind insbesondere Systeme, die Schemainformationen aus untrusted Quellen beziehen oder den GraphQL::Client zur externen Schema-Introspection nutzen.
Betroffene und gepatchte Versionen
- Betroffene Versionen: Alle Versionen > 1.11.5
- Patches verfügbar in:
- 1.11.11
- 1.12.25
- 1.13.24
- 2.0.32
- 2.1.15
- 2.2.17
- 2.3.21
- 2.4.13
Schweregrad und Auswirkungen
- Schweregrad: Kritisch
- CVSS v3-Metriken: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- CVE-ID: CVE-2025-27407
Die Schwachstelle erlaubt es Angreifern, über das Netzwerk in Systeme einzudringen und dort beliebigen Code auszuführen, was zu vollständiger Übernahme, Datenverlust oder -manipulation und erheblichen Betriebsstörungen führen kann.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: