Ruby: Remote Code Execution beim Laden eines manipulierten GraphQL-Schemas
Ein kritischer Sicherheitsfehler im RubyGems-Paket graphql wurde von rmosolgo vor 5 Tagen unter der Kennung GHSA-q92j-grw3-h492 veröffentlicht. Die Schwachstelle betrifft alle Versionen größer als 1.11.5 und ermöglicht es einem Angreifer, beim Laden eines speziell präparierten GraphQL-Schemas beliebigen Code remote auszuführen.
Der Exploit ist möglich, wenn ein System ein Schema mittels der Methoden GraphQL::Schema.from_introspection oder GraphQL::Schema::Loader.load aus einer JSON-Darstellung lädt. Da die Implementierung keinen ausreichenden Schutz vor bösartigen Schema-Definitionen bietet, können Angreifer durch das Laden einer manipulierten Schema-Definition Remote Code Execution (RCE) auslösen.
Betroffen sind insbesondere Systeme, die Schemainformationen aus untrusted Quellen beziehen oder den GraphQL::Client zur externen Schema-Introspection nutzen.
Betroffene und gepatchte Versionen
- Betroffene Versionen: Alle Versionen > 1.11.5
- Patches verfĂĽgbar in:
- 1.11.11
- 1.12.25
- 1.13.24
- 2.0.32
- 2.1.15
- 2.2.17
- 2.3.21
- 2.4.13
Schweregrad und Auswirkungen
- Schweregrad: Kritisch
- CVSS v3-Metriken: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
- CVE-ID: CVE-2025-27407
Die Schwachstelle erlaubt es Angreifern, über das Netzwerk in Systeme einzudringen und dort beliebigen Code auszuführen, was zu vollständiger Übernahme, Datenverlust oder -manipulation und erheblichen Betriebsstörungen führen kann.