PT-2026-30806 · Unknown · Rack::Session

Sm1Ee

·

Publicado

2026-04-07

·

Atualizado

2026-04-28

·

CVE-2026-39324

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions Rack::Session versões 2.0.0 até 2.1.1
Description Rack::Session é uma implementação de gerenciamento de sessão para Rack. As versões 2.0.0 até 2.1.1 lidam incorretamente com falhas de descriptografia quando configuradas com segredos. Se a descriptografia do cookie falhar, a implementação recorre a um decodificador padrão em vez de rejeitar o cookie. Isso permite que um invasor não autenticado forneça um cookie de sessão criado que seja aceito como dados de sessão válidos sem conhecimento de nenhum segredo configurado. Um invasor pode manipular o conteúdo da sessão e potencialmente obter acesso não autorizado.
Recommendations Atualize o Rack::Session para a versão 2.1.2 ou posterior.

Exploit

Correção

RCE

Insufficient Verification of Data Authenticity

Improper Authentication

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-287CWE-502CWE-565

Identificadores relacionados

CVE-2026-39324
GHSA-33QG-7WPP-89CQ
OPENSUSE-SU-2026:10604-1
USN-8190-1
USN-8190-2

Produtos afetados

Rack::Session