CVE-2025-49007
ReDoS Vulnerability in Rack::Multipart handle_mime_head
En resumen
El analizador de encabezado Content-Disposition de Rack puede forzarse a tomar tiempo excesivo con entrada especialmente elaborada, permitiendo que atacantes causen una denegación de servicio. Afecta prácticamente a todas las aplicaciones Rails que manejan cargas de archivos.
Detalle técnico
Una vulnerabilidad ReDoS en el análisis del encabezado Content-Disposition de Rack (handle_mime_head) permite que atacantes remotos causen procesamiento prolongado a través de encabezados de solicitud multipart maliciosos. Existe en versiones 3.1.0 a 3.1.15 y requiere solo la capacidad de enviar solicitudes HTTP, resultando en agotamiento de recursos y disponibilidad reducida.
Resumen generado y traducido por IA a partir de la descripción oficial.
Rack is a modular Ruby web server interface. Starting in version 3.1.0 and prior to version 3.1.16, there is a denial of service vulnerability in the Content-Disposition parsing component of Rack. This is very similar to the previous security issue CVE-2022-44571. Carefully crafted input can cause Content-Disposition header parsing in Rack to take an unexpected amount of time, possibly resulting in a denial of service attack vector. This header is used typically used in multipart parsing. Any applications that parse multipart posts using Rack (virtually all Rails applications) are impacted. Version 3.1.16 contains a patch for the vulnerability.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U
Productos afectados
rack · rack¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →