Vulnerabilidad en Action Pack (CVE-2022-23633)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/02/2022
Última modificación:
19/01/2024
Descripción
Action Pack es un marco de trabajo para manejar y responder a peticiones web. Bajo determinadas circunstancias los cuerpos de las respuestas no son cerradas. En el caso de que una respuesta *no* sea notificada de un "close", "ActionDispatch::Executor" no sabrá restablecer el estado local del hilo para la siguiente petición. Esto puede conllevar a que sean filtrados datos a las siguientes peticiones. Esto ha sido corregido en Rails versiones 7.0.2.1, 6.1.4.5, 6.0.4.5 y 5.2.6.1. Es recomendado encarecidamente actualizar, pero para mitigar este problema puede usarse el middleware descrito en GHSA-wh98-p28r-vrc9
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.2.6.2 (excluyendo) |
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.4.6 (excluyendo) |
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 6.1.0 (incluyendo) | 6.1.4.6 (excluyendo) |
| cpe:2.3:a:rubyonrails:rails:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.2.2 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/02/11/5
- https://github.com/rails/rails/commit/f9a2ad03943d5c2ba54e1d45f155442b519c75da
- https://github.com/rails/rails/security/advisories/GHSA-wh98-p28r-vrc9
- https://lists.debian.org/debian-lts-announce/2022/09/msg00002.html
- https://security.netapp.com/advisory/ntap-20240119-0013/
- https://www.debian.org/security/2023/dsa-5372