PT-2024-1928 · Rack+9 · Rack+9
Svalkanov
·
Publicado
2024-02-22
·
Atualizado
2026-03-13
·
CVE-2024-26146
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rack anteriores à 2.0.9.4
Versões do Rack anteriores à 2.1.4.4
Versões do Rack anteriores à 2.2.8.1
Versões do Rack anteriores à 3.0.9.1
Descrição
O problema está relacionado à análise de cabeçalhos no Rack, que pode ser explorada por cabeçalhos cuidadosamente criados, levando potencialmente a uma negação de serviço. Os cabeçalhos Accept e Forwarded são afetados. O Ruby 3.2 possui medidas de mitigação para esse problema, portanto, aplicativos Rack que utilizam Ruby 3.2 ou mais recente não são afetados.
Recomendações
Para resolver o problema nas versões do Rack anteriores à 2.0.9.4, atualize para a versão 2.0.9.4 ou mais recente.
Para resolver o problema nas versões do Rack anteriores à 2.1.4.4, atualize para a versão 2.1.4.4 ou mais recente.
Para resolver o problema nas versões do Rack anteriores à 2.2.8.1, atualize para a versão 2.2.8.1 ou mais recente.
Para resolver o problema nas versões do Rack anteriores à 3.0.9.1, atualize para a versão 3.0.9.1 ou mais recente.
Como solução temporária, considere restringir o acesso aos cabeçalhos Accept e Forwarded até que um patch esteja disponível.
Os patches estão disponíveis para as séries 2.0, 2.1, 2.2 e 3.0 no formato git-am.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Linuxmint
Rack
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu