Vulnerabilidad en Rack (CVE-2024-39316)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
10/10/2025
Descripción
Rack es una interfaz modular de servidor web Ruby. A partir de la versión 3.1.0 y antes de la versión 3.1.5, existe una vulnerabilidad de denegación de servicio de expresión regular (ReDoS) en el módulo `Rack::Request::Helpers` al analizar los encabezados de aceptación HTTP. Esta vulnerabilidad puede ser aprovechada por un atacante que envía encabezados "Accept-Encoding" o "Accept-Language" especialmente manipulados, lo que hace que el servidor dedique demasiado tiempo a procesar la solicitud y provoque una denegación de servicio (DoS). La solución para CVE-2024-26146 no se aplicó a la rama principal y, por lo tanto, aunque el problema se solucionó para la serie de versiones Rack v3.0, no se solucionó en la serie de versiones v3.1 hasta la v3.1.5. Los usuarios de versiones de la rama 3.1 deben actualizar a la versión 3.1.5 para recibir la solución.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* | 3.1.0 (incluyendo) | 3.1.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/rack/rack/commit/412c980450ca729ee37f90a2661f166a9665e058
- https://github.com/rack/rack/security/advisories/GHSA-54rr-7fvw-6x8f
- https://github.com/rack/rack/security/advisories/GHSA-cj83-2ww7-mvq7
- https://github.com/rack/rack/commit/412c980450ca729ee37f90a2661f166a9665e058
- https://github.com/rack/rack/security/advisories/GHSA-54rr-7fvw-6x8f
- https://github.com/rack/rack/security/advisories/GHSA-cj83-2ww7-mvq7