Vulnerabilidad en activesupport de rails (CVE-2026-33176)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
24/03/2026
Última modificación:
24/03/2026
Descripción
Active Support es un conjunto de herramientas de bibliotecas de soporte y extensiones del núcleo de Ruby extraídas del framework de Rails. Antes de las versiones 8.1.2.1, 8.0.4.1 y 7.2.3.1, los ayudantes de números de Active Support aceptan cadenas que contienen notación científica (p. ej. '1e10000'), que `BigDecimal` expande en representaciones decimales extremadamente grandes. Esto puede causar una asignación excesiva de memoria y consumo de CPU cuando el número expandido es formateado, posiblemente resultando en una vulnerabilidad de DoS. Las versiones 8.1.2.1, 8.0.4.1 y 7.2.3.1 contienen un parche.
Impacto
Puntuación base 4.0
6.60
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 7.2.3.1 (excluyendo) | |
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.0.4.1 (excluyendo) |
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 8.1.0 (incluyendo) | 8.1.2.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/rails/rails/commit/19dbab51ca086a657bb86458042bc44314916bcb
- https://github.com/rails/rails/commit/ebd6be18120d1136511eb516338e27af25ac0a1a
- https://github.com/rails/rails/commit/ee2c59e730e5b8faed502cd2c573109df093f856
- https://github.com/rails/rails/releases/tag/v7.2.3.1
- https://github.com/rails/rails/releases/tag/v8.0.4.1
- https://github.com/rails/rails/releases/tag/v8.1.2.1
- https://github.com/rails/rails/security/advisories/GHSA-2j26-frm8-cmj9