PT-2022-3422 · Rack+6 · Rack+6
Ooooooo_Q
·
Publicado
2022-05-27
·
Atualizado
2026-03-13
·
CVE-2022-30122
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Rack anteriores à 2.0.9.1
Versões do Rack anteriores à 2.1.4.1
Versões do Rack anteriores à 2.2.3.1
Descrição
Existe uma possível vulnerabilidade de negação de serviço no componente de análise multipart do Rack. Esse problema está relacionado à verificação insuficiente dos dados inseridos pelo usuário ao analisar solicitações POST compostas. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute um ataque de negação de serviço (DoS) usando uma solicitação POST especialmente criada. A vulnerabilidade pode ser acionada por solicitações POST multipart cuidadosamente criadas, fazendo com que o analisador multipart do Rack demore mais do que o esperado.
Recomendações
Para versões do Rack anteriores à 2.0.9.1, atualize para a versão 2.0.9.1 ou posterior.
Para versões do Rack anteriores à 2.1.4.1, atualize para a versão 2.1.4.1 ou posterior.
Para versões do Rack anteriores à 2.2.3.1, atualize para a versão 2.2.3.1 ou posterior.
Como solução temporária, considere restringir o uso da função
Rack::Multipart.parse multipart até que um patch esteja disponível.Evite usar os métodos
request.POST e request.params para ler dados POST de um objeto de solicitação Rack até que o problema seja resolvido.Exploit
Correção
DoS
RCE
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Rack
Red Os
Suse
Ubuntu