← voltar
CVE-2024-25126

Rack ReDos in content type parsing (2nd degree polynomial)

CVSS 5.3 MEDIUMEPSS 35.4%CWE-1333
Em resumo

Um cabeçalho Content-Type malformado pode fazer o Rack demorar muito para processar, tornando o servidor web lento ou indisponível. É um ataque que explora a análise de tipos de conteúdo.

Detalhe técnico

Uma vulnerabilidade ReDoS de segundo grau existe no analisador de tipo de mídia do Rack ao processar cabeçalhos Content-Type maliciosos. Um atacante remoto não autenticado pode enviar requisições especialmente construídas para consumir recursos do servidor e causar negação de serviço. A falha foi corrigida nas versões 3.0.9.1 e 2.2.8.1.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Rack is a modular Ruby web server interface. Carefully crafted content type headers can cause Rack’s media type parser to take much longer than expected, leading to a possible denial of service vulnerability (ReDos 2nd degree polynomial). This vulnerability is patched in 3.0.9.1 and 2.2.8.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
rack · rack

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://discuss.rubyonrails.org/t/denial-of-service-vulnerability-in-rack-content-type-parsing/84941https://github.com/rack/rack/commit/6efb2ceea003c4b195815a614e00438cbd543462https://github.com/rack/rack/commit/d9c163a443b8cadf4711d84bd2c58cb9ef89cf49https://github.com/rack/rack/security/advisories/GHSA-22f2-v57c-j9cxhttps://github.com/rubysec/ruby-advisory-db/blob/master/gems/rack/CVE-2024-25126.ymlhttps://lists.debian.org/debian-lts-announce/2024/04/msg00022.htmlhttps://security.netapp.com/advisory/ntap-20240510-0005/