PT-2026-29813 · Rack+3 · Rack+3
Haruki0409
·
Publicado
2026-04-02
·
Atualizado
2026-05-13
·
CVE-2026-34786
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Rack versões anteriores a 2.2.23, 3.1.21 e 3.2.6
Descrição
O componente
Rack::Static#applicable rules do Rack avalia regras de cabeçalho em relação ao PATH INFO codificado por URL bruto, enquanto o caminho de serviço de arquivo é decodificado. Isso permite que um invasor ignore as regras de cabeçalho solicitando uma forma codificada de um caminho estático, desabilitando potencialmente cabeçalhos de resposta relevantes para a segurança. O problema surge de uma incompatibilidade de canonização entre o caminho usado para decisões de política de cabeçalho e o caminho usado para o serviço de arquivos. O impacto depende das regras configuradas e dos tipos de arquivos servidos.Recomendações
Atualize para a versão 2.2.23, 3.1.21 ou 3.2.6 ou posterior do Rack.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Linuxmint
Rack
Red Os
Ubuntu