CVE-2025-25184
Possible Log Injection in Rack::CommonLogger
En resumen
Rack::CommonLogger puede ser engañado para escribir entradas de registro malformadas cuando los nombres de usuario contienen caracteres de nueva línea, permitiendo a los atacantes inyectar datos falsos u ocultar actividad real.
Detalle técnico
Vulnerabilidad de inyección de registros en Rack::CommonLogger mediante inyección de CRLF en la variable de entorno REMOTE_USER derivada de credenciales HTTP Basic Authentication. Los atacantes con capacidad para registrar nombres de usuario que contengan caracteres CRLF/espacios en blanco pueden manipular el formato del archivo de registro e insertar entradas arbitrarias, oscureciendo auditorías.
Resumen generado y traducido por IA a partir de la descripción oficial.
Rack provides an interface for developing web applications in Ruby. Prior to versions 2.2.11, 3.0.12, and 3.1.10, Rack::CommonLogger can be exploited by crafting input that includes newline characters to manipulate log entries. The supplied proof-of-concept demonstrates injecting malicious content into logs. When a user provides the authorization credentials via Rack::Auth::Basic, if success, the username will be put in env['REMOTE_USER'] and later be used by Rack::CommonLogger for logging purposes. The issue occurs when a server intentionally or unintentionally allows a user creation with the username contain CRLF and white space characters, or the server just want to log every login attempts. If an attacker enters a username with CRLF character, the logger will log the malicious username with CRLF characters into the logfile. Attackers can break log formats or insert fraudulent entries, potentially obscuring real activity or injecting malicious data into log files. Versions 2.2.11, 3.0.12, and 3.1.10 contain a fix.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P
Productos afectados
rack · rack¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →