CVE-2024-39316 in Rack
Resumen
por MITRE • 2024-07-02
Rack es una interfaz modular de servidor web Ruby. A partir de la versión 3.1.0 y antes de la versión 3.1.5, existe una vulnerabilidad de denegación de servicio de expresión regular (ReDoS) en el módulo `Rack::Request::Helpers` al analizar los encabezados de aceptación HTTP. Esta vulnerabilidad puede ser aprovechada por un atacante que envía encabezados "Accept-Encoding" o "Accept-Language" especialmente manipulados, lo que hace que el servidor dedique demasiado tiempo a procesar la solicitud y provoque una denegación de servicio (DoS). La solución para CVE-2024-26146 no se aplicó a la rama principal y, por lo tanto, aunque el problema se solucionó para la serie de versiones Rack v3.0, no se solucionó en la serie de versiones v3.1 hasta la v3.1.5. Los usuarios de versiones de la rama 3.1 deben actualizar a la versión 3.1.5 para recibir la solución.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.