PT-2025-39397 · Rack+8 · Rack+8

Kwkr

·

Publicado

2025-09-25

·

Atualizado

2026-04-05

·

CVE-2025-59830

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do Software Vulnerável e Versões Afetadas Versões do Rack anteriores a 2.2.18
Descrição O componente QueryParser do Rack conta incorretamente os parâmetros ao usar ambos os separadores '&' e ';'. O params limit é imposto apenas para parâmetros separados por '&', permitindo que atacantes contornem o limite usando ';' como separador. Isso pode levar a um aumento no consumo de CPU e memória, potencialmente causando uma condição de negação de serviço. Aplicações que utilizam a configuração padrão Rack::QueryParser estão potencialmente expostas.
Recomendações Atualize para a versão 2.2.18 ou posterior do Rack. Force o uso de '&' como o único separador de parâmetros.

Exploit

Correção

DoS

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

ALSA-2025:19719
ALSA-2025:20962
ALSA-2025:21036
BDU:2025-13146
CESA-2025_19719
CVE-2025-59830
DLA-4357-1
GHSA-625H-95R8-8XPM
INFSA-2025_19512
INFSA-2025_19719
INFSA-2025_20962
MGASA-2025-0334
OPENSUSE-SU-2025:15587-1
OPENSUSE-SU-2026:10286-1
RHSA-2025:19512
RHSA-2025:19513
RHSA-2025:19647
RHSA-2025:19719
RHSA-2025:19733
RHSA-2025:19734
RHSA-2025:19736
RHSA-2025:19800
RHSA-2025:19948
RHSA-2025:20962
RHSA-2025:21036
RHSA-2025_19512
RHSA-2025_19719
RHSA-2025_20962
USN-7784-1
USN-7960-1

Produtos afetados

Almalinux
Centos
Debian
Linuxmint
Rack
Red Hat
Red Os
Rocky Linux
Ubuntu