PT-2024-21298 · Unknown+3 · Action Dispatch+3
Svalkanov
·
Publicado
2024-02-24
·
Atualizado
2025-03-26
·
CVE-2024-26142
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rails 7.1.0 a 7.1.3.0
Descrição
Existe uma possível vulnerabilidade ReDoS nas rotinas de análise do cabeçalho Accept do Action Dispatch. Esse problema pode fazer com que a análise do cabeçalho Accept demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Cabeçalhos Accept cuidadosamente criados podem explorar essa vulnerabilidade. O Ruby 3.2 possui medidas de mitigação para esse problema, portanto, aplicativos Rails que utilizam Ruby 3.2 ou versões mais recentes não são afetados.
Recomendações
Para as versões 7.1.0 a 7.1.3.0, atualize para a versão 7.1.3.1 ou aplique o patch fornecido para a série 7.1, 7-1-accept-redox.patch. Como solução temporária, considere restringir o acesso às rotinas de análise do cabeçalho Accept no Action Dispatch até que um patch esteja disponível.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Action Dispatch
Rails
Ruby