一、 漏洞 CVE-2025-46336 基础信息
漏洞标题
删除后Rack会话将恢复
来源:AIGC 神龙大模型
漏洞描述信息
## 概述 Rack::Session 是 Rack 的会话管理实现。在版本 2.0.0 到 2.1.1 之前的版本中,当使用 Rack::Session::Pool 中间件时,如果攻击者能获取到会话 cookie(这已经是重大安全问题),并且能触发一个长请求(在同一会话中),用户注销后仍可能保持非法访问。 ## 影响版本 2.0.0 到 2.1.1 之前的版本 ## 细节 当使用 Rack::Session::Pool 中间件时,如果会话 cookie 被窃取(这是一个严重的问题),攻击者可以通过触发一个在用户注销时仍在进行的长请求,来恢复会话并保持非法访问。 ## 影响 用户在尝试注销后仍然可能被非法访问,从而导致安全风险。该问题已在版本 2.1.1 中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H
来源:AIGC 神龙大模型
漏洞类别
不充分的会话过期机制
来源:AIGC 神龙大模型
漏洞标题
Rack session gets restored after deletion
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Rack::Session is a session management implementation for Rack. In versions starting from 2.0.0 to before 2.1.1, when using the Rack::Session::Pool middleware, and provided the attacker can acquire a session cookie (already a major issue), the session may be restored if the attacker can trigger a long running request (within that same session) adjacent to the user logging out, in order to retain illicit access even after a user has attempted to logout. This issue has been patched in version 2.1.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
使用共享资源的并发执行不恰当同步问题(竞争条件)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-46336 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46336 的情报信息