一、 漏洞 CVE-2024-26142 基础信息
漏洞标题
Rails 可能存在在 Action Dispatch 中处理 Accept 头部时的重新利用服务攻击(ReDoS)漏洞。
来源:AIGC 神龙大模型
漏洞描述信息
Rails 是一个 web 应用框架。从版本 7.1.0 开始,Action Dispatch 中处理 Accept 头的程序可能存在 ReDoS(重复拒绝攻击)漏洞。这个漏洞在 7.1.3.1 版本中得到了修复。 Ruby 3.2 对此问题已经有缓解措施,因此使用 Ruby 3.2 或更高版本的 Rails 应用不受影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:AIGC 神龙大模型
漏洞标题
Rails possible ReDoS vulnerability in Accept header parsing in Action Dispatch
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Rails is a web-application framework. Starting in version 7.1.0, there is a possible ReDoS vulnerability in the Accept header parsing routines of Action Dispatch. This vulnerability is patched in 7.1.3.1. Ruby 3.2 has mitigations for this problem, so Rails applications using Ruby 3.2 or newer are unaffected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Rails 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Rails是美国Rails团队的一套基于Ruby语言的开源Web应用框架。 Rails 7.1.0至7.1.3.1之前版本存在安全漏洞,该漏洞源于Action Dispatch的Accept标头解析例程中存在正则表达式拒绝服务(ReDoS)漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-26142 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-26142 的情报信息