PT-2025-8694 · Unknown+9 · Cgi::Cookie+9

Lio346

·

Publicado

2025-02-26

·

Atualizado

2025-11-26

·

CVE-2025-27219

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do Software Vulnerável e Versões Afetadas Versões da gem CGI anteriores a 0.4.2
Descrição O método CGI::Cookie.parse na biblioteca CGI contém uma vulnerabilidade potencial de Negação de Serviço (DoS). O método não impõe nenhum limite ao comprimento do valor bruto do cookie que processa, levando a um consumo excessivo de recursos ao analisar cookies extremamente grandes.
Recomendações Para versões da gem CGI anteriores a 0.4.2, atualize a gem CGI para a versão 0.3.5.1, 0.3.7, 0.4.2 ou posterior para resolver o problema. Como medida temporária, considere restringir o tamanho dos valores dos cookies para prevenir o consumo excessivo de recursos.

Exploit

Correção

DoS

Allocation of Resources Without Limits

RCE

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-20CWE-400

Identificadores relacionados

ALSA-2025:10217
ALSA-2025:4063
ALSA-2025:4488
ALSA-2025:8131
ALSA-2025_10217
ALSA-2025_4488
AZL-57828
AZL-57923
BDU:2025-05128
CESA-2025_10217
CESA-2025_4063
CVE-2025-27219
DLA-4082-1
ECHO-66E4-E8D1-C7E8
GHSA-GH9Q-2XRM-X6QV
INFSA-2025_10217
INFSA-2025_4063
INFSA-2025_4487
INFSA-2025_4488
INFSA-2025_4493
MGASA-2025-0290
OESA-2025-1244
OESA-2025-1261
OESA-2025-1262
OESA-2025-1263
OESA-2025-1264
OPENSUSE-SU-2025_1369-1
RHSA-2025:10217
RHSA-2025:4063
RHSA-2025:4487
RHSA-2025:4488
RHSA-2025:4493
RHSA-2025:8131
RHSA-2025_10217
RHSA-2025_4063
RHSA-2025_4487
RHSA-2025_4488
RHSA-2025_4493
SUSE-SU-2025:1369-1
SUSE-SU-2025:4264-1
USN-7418-1
USN-7442-1

Produtos afetados

Almalinux
Cgi::Cookie
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu