Rack::Session::Cookie secrets: decrypt failure fallback enables secretless session forgery and Marshal deserialization — CVE-2026-39324
GitHub · GitHub · CVE-2026-39324
ID
CVE-2026-39324
CVE-2026-39324
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
critical
critical
CVSS
9.1
9.1
EPSS
0.00064
0.00064
Zusammenfassung
`Rack::Session::Cookie` incorrectly handles decryption failures when configured with `secrets:`. If cookie decryption fails, the implementation falls back to a default decoder instead of rejecting the cookie. This allows an unauthenticated attacker to supply a crafted session cookie that is accepted as valid session data without knowledge of any configured secret. Because this mechanism is used to load session…
Produkt
rubygems: rack-session
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.