PT-2020-5644 · Ruby+6 · Rack+6
Publicado
2020-06-19
·
Atualizado
2026-03-13
·
CVE-2020-8184
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do rack anteriores à 2.2.3
Versões do rack anteriores à 2.1.4
Descrição
Existe uma falha de segurança devido à dependência de cookies sem validação adequada ou verificações de integridade, possibilitando que um invasor falsifique um prefixo de cookie seguro ou exclusivo do host. Essa vulnerabilidade está relacionada à função
parse cookies header no módulo utils.rb, que carece de mecanismos suficientes de validação de entrada. A exploração dessa falha pode permitir que um invasor remoto comprometa a integridade dos dados.Recomendações
Para versões anteriores à 2.2.3, atualize para a versão 2.2.3 ou posterior.
Para versões anteriores à 2.1.4, atualize para a versão 2.1.4 ou posterior.
Como solução temporária, considere implementar validações adicionais ou verificações de integridade para cookies a fim de minimizar o risco de exploração.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu
Rack