CVE-2025-59830 in Rackinfo

Zusammenfassung

von VulDB • 06.06.2026

Rack ist eine modulare Ruby-Webserver-Schnittstelle. Vor Version 2.2.18 erzwingt Rack::QueryParser sein params_limit nur für Parameter, die durch & getrennt sind, während es weiterhin sowohl an & als auch an ; aufteilt. Infolgedessen könnten Angreifer ; -Trennzeichen verwenden, um das Limit der Parameteranzahl zu umgehen und mehr Parameter einzusenden als beabsichtigt. Anwendungen oder Middleware, die Rack::QueryParser direkt mit ihrer Standardkonfiguration (kein explizites Trennzeichen) aufrufen, könnten einem erhöhten CPU- und Speicherverbrauch ausgesetzt sein. Dies kann als begrenzter Denial-of-Service-Angriffsvektor missbraucht werden. Dieses Problem wurde in Version 2.2.18 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

22.09.2025

Veröffentlichung

25.09.2025

Moderieren

akzeptiert

Eintrag

VDB-325857

CPE

bereit

EPSS

0.00535

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!