CVE-2026-34230

Nome do Software Vulnerável e Versões Afetadas Rack versões anteriores a 2.2.23, 3.1.21 e 3.2.6

Descrição Rack::Utils.select best encoding processa valores Accept-Encoding com complexidade de tempo quadrática quando o cabeçalho contém muitas entradas curinga (*). Como este método é usado por Rack::Deflater para escolher uma codificação de resposta, um invasor não autenticado pode enviar uma única solicitação com um cabeçalho Accept-Encoding criado e causar consumo desproporcional de CPU no caminho do middleware de compressão. Isso resulta em uma condição de negação de serviço para aplicativos que usam Rack::Deflater. O ataque não requer sintaxe HTTP inválida ou corpos de carga grandes. Uma única solicitação do tamanho do cabeçalho é suficiente para atingir o código vulnerável.

Recomendações Atualize para a versão 2.2.23, 3.1.21 ou 3.2.6 do Rack.