CVE-2018-16470

EPSS 2.0%CWE-400

En resumen

El analizador multipart en Rack anterior a la versión 2.0.6 puede ser explotado por solicitudes especialmente elaboradas para consumir recursos de CPU en exceso, causando lentitud o indisponibilidad de la aplicación.

Detalle técnico

Una vulnerabilidad de denegación de servicio existe en el analizador multipart de Rack (versiones anteriores a 2.0.6), donde solicitudes HTTP multipart maliciosas desencadenan una condición patológica de análisis, causando consumo de CPU desproporcionado al tamaño de la solicitud. El ataque requiere acceso a la red para enviar solicitudes manipuladas, sin necesidad de autenticación. El impacto es la degradación de la disponibilidad de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

There is a possible DoS vulnerability in the multipart parser in Rack before 2.0.6. Specially crafted requests can cause the multipart parser to enter a pathological state, causing the parser to use CPU resources disproportionate to the request size.

Productos afectados

Rack · Rack

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://access.redhat.com/errata/RHSA-2019:3172 https://groups.google.com/forum/#%21msg/rubyonrails-security/U_x-YkfuVTg/xhvYAmp6AAAJ