CVE-2025-59830 in Rack
Riassunto
di VulDB • 28/06/2026
Rack è un'interfaccia modulare per server web Ruby. Prima della versione 2.2.18, Rack::QueryParser applica il suo params_limit solo ai parametri separati da &, pur continuando a dividere sia su & che su ;. Di conseguenza, gli attaccanti potrebbero utilizzare i separatori ; per aggirare il limite sul numero di parametri e inviare più parametri del previsto. Le applicazioni o il middleware che invocano direttamente Rack::QueryParser con la configurazione predefinita (nessun delimitatore esplicito) potrebbero essere esposti a un aumento del consumo di CPU e memoria. Questo può essere sfruttato come vettore limitato per attacchi denial-of-service. Il problema è stato risolto nella versione 2.2.18.
If you want to get best quality of vulnerability data, you may have to visit VulDB.