CVE-2022-44571
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
09/02/2023
Última modificación:
13/02/2025
Descripción
*** Pendiente de traducción *** There is a denial of service vulnerability in the Content-Disposition parsingcomponent of Rack fixed in 2.0.9.2, 2.1.4.2, 2.2.4.1, 3.0.0.1. This could allow an attacker to craft an input that can cause Content-Disposition header parsing in Rackto take an unexpected amount of time, possibly resulting in a denial ofservice attack vector. This header is used typically used in multipartparsing. Any applications that parse multipart posts using Rack (virtuallyall Rails applications) are impacted.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* | 2.0.0 (incluyendo) | 2.0.9.2 (excluyendo) |
| cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* | 2.1.0 (incluyendo) | 2.1.4.2 (excluyendo) |
| cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* | 2.2.0 (incluyendo) | 2.2.6.1 (excluyendo) |
| cpe:2.3:a:rack:rack:*:*:*:*:*:ruby:*:* | 3.0.0.0 (incluyendo) | 3.0.4.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://discuss.rubyonrails.org/t/cve-2022-44571-possible-denial-of-service-vulnerability-in-rack-content-disposition-parsing/82126
- https://security.netapp.com/advisory/ntap-20231208-0013/
- https://www.debian.org/security/2023/dsa-5530
- https://discuss.rubyonrails.org/t/cve-2022-44571-possible-denial-of-service-vulnerability-in-rack-content-disposition-parsing/82126
- https://security.netapp.com/advisory/ntap-20231208-0013/
- https://www.debian.org/security/2023/dsa-5530