CVE-2018-16470

EPSS 2.0%CWE-400

Em resumo

O analisador de multipart do Rack anterior à versão 2.0.6 pode ser explorado por requisições especialmente elaboradas para consumir recursos de CPU em excesso, causando lentidão ou indisponibilidade da aplicação.

Detalhe técnico

Uma vulnerabilidade de negação de serviço existe no analisador multipart do Rack (versões anteriores a 2.0.6), onde requisições HTTP multipart maliciosas desencadeiam uma condição patológica de análise, causando consumo de CPU desproporcional ao tamanho da requisição. O ataque requer acesso de rede para enviar requisições manipuladas, sem necessidade de autenticação. O impacto é a degradação da disponibilidade da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.

There is a possible DoS vulnerability in the multipart parser in Rack before 2.0.6. Specially crafted requests can cause the multipart parser to enter a pathological state, causing the parser to use CPU resources disproportionate to the request size.

Produtos afetados

Rack · Rack

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://access.redhat.com/errata/RHSA-2019:3172 https://groups.google.com/forum/#%21msg/rubyonrails-security/U_x-YkfuVTg/xhvYAmp6AAAJ