PT-2024-7925 · Ruby On Rails+6 · Action Pack+6
Scyoon
·
Publicado
2024-10-15
·
Atualizado
2025-11-25
·
CVE-2024-47887
CVSS v4.0
6.6
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U |
Nome do software vulnerável e versões afetadas
Versões do Action Pack 4.0.0 a 6.1.7.8
Versões do Action Pack 7.0.0 a 7.0.8.4
Versões do Action Pack 7.1.0 a 7.1.4.0
Versões do Action Pack 7.2.0 a 7.2.1.0
Descrição
O problema está relacionado a uma vulnerabilidade ReDoS na autenticação por token HTTP do Action Controller, que pode fazer com que a análise do cabeçalho demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Isso pode ser explorado por um invasor remoto, permitindo que ele cause uma negação de serviço. Para aplicativos que utilizam autenticação por token HTTP via
authenticate or request with http token ou similar, um cabeçalho cuidadosamente elaborado pode causar o problema.Recomendações
Para as versões do Action Pack de 4.0.0 a 6.1.7.8, atualize para a versão 6.1.7.9 ou aplique o patch relevante.
Para as versões do Action Pack de 7.0.0 a 7.0.8.4, atualize para a versão 7.0.8.5 ou aplique o patch relevante.
Para as versões do Action Pack 7.1.0 a 7.1.4.0, atualize para a versão 7.1.4.1 ou aplique o patch relevante.
Para as versões do Action Pack 7.2.0 a 7.2.1.0, atualize para a versão 7.2.1.1 ou aplique o patch relevante.
Como solução alternativa temporária, considere usar o Ruby 3.2 ou mais recente, pois ele oferece medidas de mitigação para esse problema.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Action Pack
Debian
Linuxmint
Red Os
Suse
Ubuntu