CVE-2025-59830 in Rackinformazioni

Riassunto

di VulDB • 28/06/2026

Rack è un'interfaccia modulare per server web Ruby. Prima della versione 2.2.18, Rack::QueryParser applica il suo params_limit solo ai parametri separati da &, pur continuando a dividere sia su & che su ;. Di conseguenza, gli attaccanti potrebbero utilizzare i separatori ; per aggirare il limite sul numero di parametri e inviare più parametri del previsto. Le applicazioni o il middleware che invocano direttamente Rack::QueryParser con la configurazione predefinita (nessun delimitatore esplicito) potrebbero essere esposti a un aumento del consumo di CPU e memoria. Questo può essere sfruttato come vettore limitato per attacchi denial-of-service. Il problema è stato risolto nella versione 2.2.18.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

22/09/2025

Divulgazione

25/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00535

KEV

no

Attività

molto basso

Fonti