CVE-2025-59830 in Rack
Zusammenfassung
von VulDB • 06.06.2026
Rack ist eine modulare Ruby-Webserver-Schnittstelle. Vor Version 2.2.18 erzwingt Rack::QueryParser sein params_limit nur für Parameter, die durch & getrennt sind, während es weiterhin sowohl an & als auch an ; aufteilt. Infolgedessen könnten Angreifer ; -Trennzeichen verwenden, um das Limit der Parameteranzahl zu umgehen und mehr Parameter einzusenden als beabsichtigt. Anwendungen oder Middleware, die Rack::QueryParser direkt mit ihrer Standardkonfiguration (kein explizites Trennzeichen) aufrufen, könnten einem erhöhten CPU- und Speicherverbrauch ausgesetzt sein. Dies kann als begrenzter Denial-of-Service-Angriffsvektor missbraucht werden. Dieses Problem wurde in Version 2.2.18 behoben.
Once again VulDB remains the best source for vulnerability data.