CVE-2024-39316 in Rackinformación

Resumen

por MITRE • 2024-07-02

Rack es una interfaz modular de servidor web Ruby. A partir de la versión 3.1.0 y antes de la versión 3.1.5, existe una vulnerabilidad de denegación de servicio de expresión regular (ReDoS) en el módulo `Rack::Request::Helpers` al analizar los encabezados de aceptación HTTP. Esta vulnerabilidad puede ser aprovechada por un atacante que envía encabezados "Accept-Encoding" o "Accept-Language" especialmente manipulados, lo que hace que el servidor dedique demasiado tiempo a procesar la solicitud y provoque una denegación de servicio (DoS). La solución para CVE-2024-26146 no se aplicó a la rama principal y, por lo tanto, aunque el problema se solucionó para la serie de versiones Rack v3.0, no se solucionó en la serie de versiones v3.1 hasta la v3.1.5. Los usuarios de versiones de la rama 3.1 deben actualizar a la versión 3.1.5 para recibir la solución.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2024-06-21

Divulgación

2024-07-02

Moderación

aceptado

Artículo

VDB-270242

CPE

listo

EPSS

0.00856

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!