PT-2024-1854 · Rack-Cors · Rack-Cors
Ajmilazzo
·
Publicado
2024-02-26
·
Atualizado
2025-09-18
·
CVE-2024-27456
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
rack-cors (também conhecido como Rack CORS Middleware) versão 2.0.1
Descrição
O problema está relacionado ao uso incorreto de permissões padrão no Rack CORS Middleware, o que pode permitir que um invasor comprometa a integridade, a confidencialidade e a disponibilidade das informações. Os arquivos .rb possuem permissões 0666.
Recomendações
Para a versão 2.0.1, considere alterar as permissões dos arquivos .rb para uma configuração mais segura, a fim de evitar possíveis explorações. Como solução temporária, restrinja o acesso aos arquivos .rb até que um patch esteja disponível.
Exploit
Correção
Incorrect Default Permissions
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rack-Cors