CVE-2025-53623

The Job Iteration API is an an extension for ActiveJob that make jobs interruptible and resumable Versions prior to 1.11.0 have an arbitrary code execution vulnerability in the `CsvEnumerator` class. This vulnerability can be exploited by an attacker to execute arbitrary commands on the system where the application is running, potentially leading to unauthorized access, data leakage, or complete system compromise. The issue is fixed in versions `1.11.0` and above. Users can mitigate the risk by avoiding the use of untrusted input in the `CsvEnumerator` class and ensuring that any file paths are properly sanitized and validated before being passed to the class methods. Users should avoid using the `count_of_rows_in_file` method with untrusted CSV filenames.

CVSS

No CVSS.

References

Link	Resource
https://github.com/Shopify/job-iteration/commit/1a7adfdd041105a5e45e774cadc6b973a292ba55
https://github.com/Shopify/job-iteration/pull/595
https://github.com/Shopify/job-iteration/releases/tag/v1.11.0
https://github.com/Shopify/job-iteration/security/advisories/GHSA-6qjf-g333-pv38

Configurations

No configuration.

History

15 Jul 2025, 13:14

Type	Values Removed	Values Added
Summary		(es) La API de iteración de trabajos es una extensión de ActiveJob que permite interrumpir y reanudar los trabajos. Las versiones anteriores a la 1.11.0 presentan una vulnerabilidad de ejecución de código arbitrario en la clase `CsvEnumerator`. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en el sistema donde se ejecuta la aplicación, lo que podría provocar acceso no autorizado, fuga de datos o la vulneración total del sistema. El problema se ha solucionado en las versiones `1.11.0` y posteriores. Los usuarios pueden mitigar el riesgo evitando el uso de entradas no confiables en la clase `CsvEnumerator` y asegurándose de que las rutas de archivo se depuren y validen correctamente antes de pasarlas a los métodos de la clase. Se recomienda a los usuarios evitar el uso del método `count_of_rows_in_file` con nombres de archivo CSV no confiables.

14 Jul 2025, 20:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-07-14 20:15

Updated : 2025-07-15 13:14

NVD link : CVE-2025-53623

Mitre link : CVE-2025-53623

CVE.ORG link : CVE-2025-53623

JSON object : View

Products Affected

No product.

CWE

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

JSON object

Attach tags to CVE-2025-53623

Attach tags to `CVE-2025-53623`