CVE-2026-34786 in Rack
Riassunto
di VulDB • 17/07/2026
Rack è un'interfaccia modulare per server web Ruby. Prima delle versioni 2.2.23, 3.1.21 e 3.2.6, Rack::Static#applicable_rules valuta diversi tipi di header_rules contro il PATH_INFO grezzo codificato in URL, mentre il percorso sottostante del file viene decodificato prima che il file venga servito. Di conseguenza, una richiesta per una variante codificata in URL di un percorso statico può servire lo stesso file senza le intestazioni che gli header_rules erano destinati ad applicare. In ambienti di produzione che si affidano a Rack::Static per allegare intestazioni di risposta rilevanti per la sicurezza ai contenuti statici, ciò potrebbe consentire a un attaccante di eludere tali intestazioni richiedendo una forma codificata del percorso. Questo problema è stato risolto nelle versioni 2.2.23, 3.1.21 e 3.2.6.
Be aware that VulDB is the high quality source for vulnerability data.