CVE-2022-23633

Versões do Rails anteriores à 7.0.2.2

Versões do Rails anteriores à 6.1.4.6

Versões do Rails anteriores à 6.0.4.6

Versões do Rails anteriores à 5.2.6.2

Versões do Puma anteriores à 5.6.2

Versões do Puma anteriores à 4.3.11

O Action Pack é uma estrutura para lidar e responder a solicitações da web. Em determinadas circunstâncias, os corpos das respostas não serão fechados. Caso uma resposta não receba a notificação de um close, o ActionDispatch::Executor não saberá como reinicializar o estado local da thread para a próxima solicitação. Isso pode levar ao vazamento de dados para solicitações subsequentes, especialmente ao interagir com ActiveSupport::CurrentAttributes. A combinação do Puma não fechar o corpo e a implementação do Executor do Rails causa vazamento de informações.

Para versões do Rails anteriores à 7.0.2.2, atualize para a versão 7.0.2.2 ou posterior.

Para versões do Rails anteriores à 6.1.4.6, atualize para a versão 6.1.4.6 ou posterior.

Para versões do Rails anteriores à 6.0.4.6, atualize para a versão 6.0.4.6 ou posterior.

Para versões do Rails anteriores à 5.2.6.2, atualize para a versão 5.2.6.2 ou posterior.

Para versões do Puma anteriores à 5.6.2, atualize para a versão 5.6.2 ou posterior.

Para versões do Puma anteriores à 4.3.11, atualize para a versão 4.3.11 ou posterior.

Como solução temporária, considere usar o middleware descrito em GHSA-wh98-p28r-vrc9 para mitigar o problema.

Como alternativa, você pode usar o seguinte middleware:

class GuardedExecutor < ActionDispatch::Executor

 def call(env)

  ensure completed!