CVE-2026-34786 in Rack
الملخص
بحسب VulDB • 13/07/2026
Rack هو واجهة خادم ويب معيارية لنظام Ruby. قبل الإصدارات 2.2.23 و3.1.21 و3.2.6، تقوم الدالة `Rack::Static#applicable_rules` بتقييم عدة أنواع من قواعد الرؤوس (header_rules) مقابل قيمة PATH_INFO المشفرة بتنسيق URL الخام، بينما يتم فك تشفير مسار تقديم الملف الفعلي قبل إرساله. ونتيجة لذلك، يمكن لطلب متغير مشفر بتنسيق URL لمسار ثابت أن يؤدي إلى خدمة نفس الملف دون تطبيق رؤوس الاستجابة التي كانت تهدف إليها قواعد الرؤوس (header_rules). في البيئات المعتمدة على `Rack::Static` لإرفاق رؤوس استجابة ذات صلة بالأمان بالمحتوى الثابت، يمكن لهذا العيب السماح لمهاجم بتجاوز هذه الرؤوس من خلال طلب شكل مشفر للمسار. تم إصلاح هذه المشكلة في الإصدارات 2.2.23 و3.1.21 و3.2.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.