Rack's multipart header parsing allows Denial of Service via escape-heavy quoted parameters — CVE-2026-34827
GitHub · GitHub · CVE-2026-34827
ID
CVE-2026-34827
CVE-2026-34827
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
7.5
7.5
EPSS
0.00022
0.00022
Zusammenfassung
## Summary `Rack::Multipart::Parser#handle_mime_head` parses quoted multipart parameters such as `Content-Disposition: form-data; name="..."` using repeated `String#index` searches combined with `String#slice!` prefix deletion. For escape-heavy quoted values, this causes super-linear processing. An unauthenticated attacker can send a crafted `multipart/form-data` request containing many parts with long…
Produkt
rubygems: rack
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.