PT-2024-1927 · Rack+9 · Rack+9
Byroot
·
Publicado
2024-02-22
·
Atualizado
2026-03-13
·
CVE-2024-25126
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rack anteriores à 2.2.8.1
Versões do Rack anteriores à 3.0.9.1
Descrição
O problema está relacionado a uma vulnerabilidade de negação de serviço na análise de tipos de conteúdo do Rack, na qual cabeçalhos de tipo de conteúdo cuidadosamente criados podem fazer com que o analisador de tipos de mídia demore mais do que o esperado. Isso pode levar a uma possível vulnerabilidade de negação de serviço, especificamente um ReDos polinomial de 2º grau.
Recomendações
Para versões anteriores à 2.2.8.1, atualize para a versão 2.2.8.1 para resolver o problema.
Para versões anteriores à 3.0.9.1, atualize para a versão 3.0.9.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao cabeçalho
Content-Type para minimizar o risco de exploração.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Rack
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu