Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Rack (CVE-2025-25184)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-93 Neutralización incorrecta de secuencias de retornos de carro y saltos de linea (CRLF)
Fecha de publicación:
12/02/2025
Última modificación:
10/10/2025

Descripción

Rack proporciona una interfaz para desarrollar aplicaciones web en Ruby. Antes de las versiones 2.2.11, 3.0.12 y 3.1.11, Rack::CommonLogger se puede explotar creando entradas que incluyan caracteres de nueva línea para manipular las entradas del registro. La prueba de concepto proporcionada demuestra la inyección de contenido malicioso en los registros. Cuando un usuario proporciona las credenciales de autorización a través de Rack::Auth::Basic, si tiene éxito, el nombre de usuario se colocará en env['REMOTE_USER'] y luego será utilizado por Rack::CommonLogger para fines de registro. El problema ocurre cuando un servidor intencional o involuntariamente permite la creación de un usuario con el nombre de usuario que contiene caracteres CRLF y espacios en blanco, o el servidor solo desea registrar cada intento de inicio de sesión. Si un atacante ingresa un nombre de usuario con caracteres CRLF, el registrador registrará el nombre de usuario malicioso con caracteres CRLF en el archivo de registro. Los atacantes pueden romper los formatos de registro o insertar entradas fraudulentas, lo que podría ocultar la actividad real o inyectar datos maliciosos en los archivos de registro. Las versiones 2.2.11, 3.0.12 y 3.1.11 contienen una corrección.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.70 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0
5.70
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* 2.2.11 (excluyendo)
cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* 3.0.0 (incluyendo) 3.0.12 (excluyendo)
cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* 3.1.0 (incluyendo) 3.1.10 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información