CVE-2024-39316 in Rack
Zusammenfassung
von VulDB • 21.05.2026
Rack ist eine modulare Ruby-Webserver-Schnittstelle. Ab Version 3.1.0 und vor Version 3.1.5 besteht in dem Modul `Rack::Request::Helpers` bei der Analyse von HTTP-Accept-Headern eine Regular Expression Denial of Service (ReDoS)-Schwachstelle. Diese Schwachstelle kann von einem Angreifer ausgenutzt werden, der speziell angefertigte `Accept-Encoding`- oder `Accept-Language`-Header sendet, wodurch der Server übermäßige Zeit mit der Verarbeitung der Anfrage verbringt, was zu einem Denial of Service (DoS) führt. Die Korrektur für CVE-2024-26146 wurde nicht auf den Hauptzweig (main branch) angewendet, sodass das Problem zwar für die Rack v3.0-Veröffentlichungsreihe behoben wurde, in der v3.1-Veröffentlichungsreihe jedoch erst ab v3.1.5 behoben wurde. Nutzer von Versionen im 3.1-Zweig sollten auf Version 3.1.5 aktualisieren, um die Korrektur zu erhalten.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.