PT-2024-7928 · Ruby On Rails+6 · Action Pack+6
Scyoon
·
Publicado
2024-10-15
·
Atualizado
2025-11-25
·
CVE-2024-41128
CVSS v4.0
6.6
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do software vulnerável e versões afetadas
Versões do Action Pack 3.1.0 a 6.1.7.8
Versões do Action Pack 7.0.0 a 7.0.8.4
Versões do Action Pack 7.1.0 a 7.1.4.0
Versões do Action Pack 7.2.0 a 7.2.1.0
Descrição
O problema está relacionado a uma possível vulnerabilidade ReDoS nas rotinas de filtragem de parâmetros de consulta do Action Dispatch. Parâmetros de consulta cuidadosamente elaborados podem fazer com que a filtragem demore um tempo inesperado, possivelmente resultando em uma vulnerabilidade DoS. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço.
Recomendações
Para as versões do Action Pack 3.1.0 a 6.1.7.8, atualize para a versão 6.1.7.9 ou aplique o patch relevante imediatamente.
Para as versões do Action Pack 7.0.0 a 7.0.8.4, atualize para a versão 7.0.8.5 ou aplique o patch relevante imediatamente.
Para as versões do Action Pack 7.1.0 a 7.1.4.0, atualize para a versão 7.1.4.1 ou aplique o patch relevante imediatamente.
Para as versões do Action Pack 7.2.0 a 7.2.1.0, atualize para a versão 7.2.1.1 ou aplique o patch relevante imediatamente.
Como solução alternativa temporária, considere usar o Ruby 3.2, que possui medidas de mitigação para este problema.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Action Pack
Debian
Linuxmint
Red Os
Ruby
Ubuntu