CVE-2025-61772

Nome do Software Vulnerável e Versões Afetadas Versões do Rack anteriores a 2.2.19 Versões do Rack anteriores a 3.1.17 Versões do Rack anteriores a 3.2.2

Descrição O Rack é uma interface de servidor web Ruby modular. O componente Rack::Multipart::Parser pode acumular dados ilimitados ao processar requisições multipart com blocos de cabeçalho incompletos que não possuem a linha em branco obrigatória. Isso permite que um atacante remoto esgote a memória, potencialmente levando a uma negação de serviço (DoS). Atacantes podem enviar cabeçalhos multipart incompletos para causar alto uso de memória, resultando na terminação do processo ou degradação significativa de desempenho. O impacto é proporcional aos limites de tamanho da requisição e à concorrência. Aplicações que manipulam uploads multipart podem ser afetadas. O analisador continua anexando bytes recebidos à memória sem um limite de tamanho.

Recomendações Atualize para a versão 2.2.19 ou posterior do Rack. Atualize para a versão 3.1.17 ou posterior do Rack. Atualize para a versão 3.2.2 ou posterior do Rack. Como solução alternativa, restrinja os tamanhos máximos de requisição na camada de proxy ou servidor web.