CVE-2025-27407 (CVSS 9.1): Critical GraphQL-Ruby Flaw Exposes Millions to RCE
2025/03/17 SecurityOnline — 人気の graphql-ruby gem に発見された深刻な脆弱性 CVE-2025-27407 により、何百万ものアプリケーションが、リモート・ コード実行のリスクにさらされている。このライブラリのダウンロード数は 1億3,600万回を超え、広範囲で利用されているため、潜在的な影響の大きさが懸念されている。
この脆弱性 CE-2025-27407 (CVSS:9.1) は、 “GraphQL::Schema.from_introspection” および “GraphQL::Schema::Loader.load” を介して、graphql-ruby gem がスキーマの読み込みを処理する際の方法に起因している。具体的言うと、悪意を持って作成された GraphQL スキーマ定義が読み込まれたときに、リモート・コード実行をトリガーされる恐れがある。この欠陥は、GraphQL::Client を利用することで、GraphQL イントロスペクションを通じた外部スキーマを取得する、信頼できないソースからスキーマを取り込むアプリケーションにとって、特に懸念される問題となる。
この問題は深刻であるため、速やかな対応が必要となる。外部ソースからの GraphQL スキーマを、厳密な検証を行わずにロードするシステムは、潜在的に脆弱である。それを悪用する攻撃者は、影響を受けるサーバを侵害し、完全な制御を奪う機会を得る。
その影響の範囲は広範に及ぶ。影響を受けるバージョンを使用するアプリケーションはは、慎重に作成された悪意の GraphQL スキーマを処理するだけで、侵害される可能性がある。その結果として、データ侵害/システム中断などの、悪意のあるアクティビティが発生する恐れがある。
この脆弱性は、graphql-ruby のバージョン 1.11.5 以上に影響を及ぼす。以下のパッチリ適用リースへのアップデートを急いでほしい :
- 1.11.11
- 1.12.25
- 1.13.24
- 2.0.32
- 2.1.15
- 2.2.17
- 2.3.21
- 2.4.13
graphql-ruby gem を使用する開発者に対して強く推奨されるのは、いずれかのパッチ適用バージョンへと、速やかにアップグレードすることだ。脆弱性の重大性を考慮すると、この更新を遅らせるべきではない。
GraphQL-Ruby の脆弱性 CVE-2025-27407 が FIXしました。文中のパッチ・バージョン表記は、記事原文の表記に誤りがあったため、Github に従っています。ご利用のチームは、アップデートをご検討下さい。本件と同じく Ruby 関連のトピックとして、2025/03/13 に「ruby-saml の脆弱性 CVE-2025-25291/25292 が FIX:SAML 認証プロテクション回避の可能性」という記事をポストしています。よろしければ、Ruby で検索 と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.