CVE-2026-34786 in Rackالمعلومات

الملخص

بحسب VulDB • 13/07/2026

Rack هو واجهة خادم ويب معيارية لنظام Ruby. قبل الإصدارات 2.2.23 و3.1.21 و3.2.6، تقوم الدالة `Rack::Static#applicable_rules` بتقييم عدة أنواع من قواعد الرؤوس (header_rules) مقابل قيمة PATH_INFO المشفرة بتنسيق URL الخام، بينما يتم فك تشفير مسار تقديم الملف الفعلي قبل إرساله. ونتيجة لذلك، يمكن لطلب متغير مشفر بتنسيق URL لمسار ثابت أن يؤدي إلى خدمة نفس الملف دون تطبيق رؤوس الاستجابة التي كانت تهدف إليها قواعد الرؤوس (header_rules). في البيئات المعتمدة على `Rack::Static` لإرفاق رؤوس استجابة ذات صلة بالأمان بالمحتوى الثابت، يمكن لهذا العيب السماح لمهاجم بتجاوز هذه الرؤوس من خلال طلب شكل مشفر للمسار. تم إصلاح هذه المشكلة في الإصدارات 2.2.23 و3.1.21 و3.2.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

02/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-354948

EPSS

0.00195

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!