CVE-2025-61771

Nome do Software Vulnerável e Versões Afetadas Versões do Rack anteriores a 2.2.19 Versões do Rack anteriores a 3.1.17 Versões do Rack anteriores a 3.2.2

Descrição O Rack é uma interface modular de servidor web Ruby. O componente Rack::Multipart::Parser armazena campos de formulário que não sejam de arquivo na memória como objetos String do Ruby. Um campo de texto grande dentro de uma requisição multipart/form-data pode consumir memória significativa do processo, potencialmente levando a condições de esgotamento de memória (OOM) e negação de serviço (DoS). Atacantes podem explorar isso enviando requisições com campos grandes que não sejam de arquivo, causando uso excessivo de memória e potencialmente causando a falha de workers ou aumentando a sobrecarga da coleta de lixo. Todas as aplicações Rack que processam envios de formulário multipart são potencialmente afetadas.

Recomendações Atualize para a versão 2.2.19 ou posterior do Rack. Atualize para a versão 3.1.17 ou posterior do Rack. Atualize para a versão 3.2.2 ou posterior do Rack. Restrinja o tamanho máximo do corpo da requisição na camada do servidor web ou proxy. Valide e rejeite campos de formulário incomumente grandes no nível da aplicação.