CVE-2022-23633 in Action Pack
Riassunto
di VulDB • 11/07/2026
Action Pack è un framework per la gestione e l'elaborazione delle richieste web. In determinate circostanze i corpi della risposta non vengono chiusi correttamente. Qualora una risposta *non* riceva la notifica di `close`, `ActionDispatch::Executor` non sarà in grado di resettare lo stato locale del thread (thread local state) per la richiesta successiva, con il conseguente rischio che dati sensibili vengano trapelati verso le richieste successive. Il problema è stato risolto nelle versioni Rails 7.0.2.1, 6.1.4.5, 6.0.4.5 e 5.2.6.1. Si consiglia vivamente di effettuare l'aggiornamento; come soluzione alternativa al problema, è possibile utilizzare il middleware descritto in GHSA-wh98-p28r-vrc9.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.