PT-2020-5675 · Ruby+9 · Webrick+10
Piao
·
Publicado
2020-10-01
·
Atualizado
2025-09-29
·
CVE-2020-25613
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ruby anteriores à 2.5.9
Versões do Ruby 2.6.x a 2.6.6
Versões do Ruby 2.7.x a 2.7.1
Descrição
O problema está relacionado à biblioteca WEBrick no Ruby, que apresenta uma falha na verificação incorreta do valor do cabeçalho. Isso pode permitir que um invasor remoto comprometa a integridade dos dados ao contornar um proxy reverso com verificações de cabeçalho deficientes, levando a um ataque de contrabando de solicitações HTTP (HTTP Request Smuggling).
Recomendações
Para versões do Ruby anteriores à 2.5.9, atualize para a versão 2.5.9 ou posterior para resolver o problema.
Para as versões 2.6.x a 2.6.6 do Ruby, atualize para a versão 2.6.7 ou posterior para resolver o problema.
Para as versões 2.7.x a 2.7.1 do Ruby, atualize para a versão 2.7.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao servidor WEBrick para minimizar o risco de exploração.
Exploit
Correção
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Ruby
Suse
Ubuntu
Webrick