Ruby: Remote Code Execution beim Laden eines manipulierten GraphQL-Schemas

Ein kritischer Sicherheitsfehler im RubyGems-Paket graphql wurde von rmosolgo vor 5 Tagen unter der Kennung GHSA-q92j-grw3-h492 veröffentlicht. Die Schwachstelle betrifft alle Versionen größer als 1.11.5 und ermöglicht es einem Angreifer, beim Laden eines speziell präparierten GraphQL-Schemas beliebigen Code remote auszuführen.

Der Exploit ist möglich, wenn ein System ein Schema mittels der Methoden GraphQL::Schema.from_introspection oder GraphQL::Schema::Loader.load aus einer JSON-Darstellung lädt. Da die Implementierung keinen ausreichenden Schutz vor bösartigen Schema-Definitionen bietet, können Angreifer durch das Laden einer manipulierten Schema-Definition Remote Code Execution (RCE) auslösen.
Betroffen sind insbesondere Systeme, die Schemainformationen aus untrusted Quellen beziehen oder den GraphQL::Client zur externen Schema-Introspection nutzen.

Betroffene und gepatchte Versionen

  • Betroffene Versionen: Alle Versionen > 1.11.5
  • Patches verfĂĽgbar in:
    • 1.11.11
    • 1.12.25
    • 1.13.24
    • 2.0.32
    • 2.1.15
    • 2.2.17
    • 2.3.21
    • 2.4.13

Schweregrad und Auswirkungen

  • Schweregrad: Kritisch
  • CVSS v3-Metriken: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • CVE-ID: CVE-2025-27407
    Die Schwachstelle erlaubt es Angreifern, über das Netzwerk in Systeme einzudringen und dort beliebigen Code auszuführen, was zu vollständiger Übernahme, Datenverlust oder -manipulation und erheblichen Betriebsstörungen führen kann.

Related Posts

Junos OS – Lokaler Angreifer kann beliebigen Code ausführen (CVE-2025-21590)

Ein neuer Out-of-Cycle-Sicherheitsbulletin von Juniper Networks hat eine kritische Schwachstelle im Kernel von Junos OS aufgedeckt. Durch eine fehlerhafte Isolation kann ein lokaler Angreifer mit Shell-Zugang beliebigen Code injizieren, was die Integrität des betroffenen Geräts gefährdet. Die Schwachstelle, die ausschließlich über den Shell-Zugang und nicht über die Junos CLI ausgenutzt werden kann, betrifft sämtliche Versionen von Junos OS – ausgenommen Junos OS Evolved.

Read More

Node.js - CVE SicherheitslĂĽcken auch fĂĽr EOL-Versionen angekĂĽndigt

Das Node.js-Team hat auf Sicherheitsupdates vom 21. Januar 2025 reagiert, indem es CVEs für End-of-Life (EOL) Versionen zugeordnet hat – CVE-2025-23087 (Node.js v17 und frühere Versionen), CVE-2025-23088 (Node.js v19) sowie CVE-2025-23089 (Node.js v21). Ziel war es, auf die anhaltenden Risiken veralteter Releases hinzuweisen, die weiterhin in vielen Umgebungen eingesetzt werden.

Read More

Privilege Escalation SicherheitslĂĽcke in Zoom (CVE-2025-0151)

Am 11. März 2025 wurde unter der Kennung CVE-2025-0151 eine kritische SicherheitslĂĽcke in den Zoom Workplace Apps veröffentlicht. Die Schwachstelle beruht auf einem “Use After Free”-Fehler, der es einem authentifizierten Benutzer ermöglicht, ĂĽber Netzwerkzugriff eine Privilegieneskalation durchzufĂĽhren.

Read More