CVE-2026-34763

Name of the Vulnerable Software and Affected Versions Rack versões anteriores a 2.2.23, 3.1.21 e 3.2.6

Description Rack::Directory interpola o caminho root configurado diretamente em uma expressão regular ao derivar o caminho do diretório exibido. Se o caminho root contiver metacaracteres de expressão regular, como +, * ou ., a remoção do prefixo pode falhar e a listagem de diretórios gerada pode expor o caminho completo do sistema de arquivos na saída HTML. Isso pode expor detalhes internos de implantação, como layout de diretório, nomes de usuário, pontos de montagem ou convenções de nomenclatura. O problema ocorre porque o caminho configurado é inserido diretamente em uma expressão regular sem escape.

Recommendations Atualize para a versão 2.2.23 ou posterior do Rack. Atualize para a versão 3.1.21 ou posterior do Rack. Atualize para a versão 3.2.6 ou posterior do Rack.