Plataforma
ruby
Componente
activestorage
Corregido en
8.1.1
8.0.1
7.2.4
8.1.2.1
La vulnerabilidad CVE-2026-33658 es una denegación de servicio (DoS) en el controlador proxy de Active Storage de Ruby on Rails. Un atacante puede explotar esta falla enviando una solicitud HTTP con una gran cantidad de rangos de bytes, lo que resulta en un uso desproporcionado de la CPU del servidor. Esta vulnerabilidad afecta a versiones de Active Storage menores o iguales a 8.1.2 y se ha solucionado en la versión 8.1.2.1.
El impacto principal de esta vulnerabilidad es la posibilidad de una denegación de servicio. Un atacante puede sobrecargar el servidor con solicitudes que consumen una cantidad excesiva de recursos de CPU, lo que puede hacer que la aplicación Active Storage sea inaccesible para usuarios legítimos. Esto puede interrumpir el funcionamiento de aplicaciones web que dependen de Active Storage para el almacenamiento y la gestión de archivos. La explotación no implica la exposición de datos sensibles, pero sí la indisponibilidad del servicio. La magnitud del impacto dependerá de la capacidad del servidor para manejar la carga adicional y de la criticidad de Active Storage para la aplicación.
Esta vulnerabilidad fue reportada de forma responsable por el investigador de Hackerone [thwin_htet]. Actualmente, no se han reportado casos de explotación activa en el mundo real. La vulnerabilidad ha sido añadida al NVD (National Vulnerability Database) el 2026-03-25. El EPSS (Exploit Prediction Score System) probablemente la clasificaría como de baja a media probabilidad de explotación debido a la necesidad de un conocimiento técnico específico y a la falta de un exploit público disponible.
Applications using Ruby on Rails Active Storage versions 8.1.2 and earlier are at risk. This includes web applications that heavily rely on file uploads and serving through Active Storage, particularly those with publicly accessible file storage. Shared hosting environments utilizing older Ruby on Rails versions are also particularly vulnerable.
• ruby / server:
ps aux | grep 'ActiveStorage::ProxyController' | grep -c 'byte range'• ruby / server:
journalctl -u puma -g 'ActiveStorage::ProxyController' | grep 'byte range'• generic web:
curl -I <active_storage_url> | grep 'Range:'disclosure
patch
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Active Storage a la versión 8.1.2.1 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas temporales para limitar el número de rangos de bytes permitidos en las solicitudes HTTP. Esto se puede lograr mediante la configuración de un servidor proxy o WAF (Web Application Firewall) para filtrar solicitudes con un número excesivo de rangos. Además, monitorear el uso de la CPU del servidor puede ayudar a detectar y responder a ataques DoS.
Actualice Active Storage a la versión 8.1.2.1, 8.0.4.1 o 7.2.3.1, o superior, según corresponda a su versión de Rails. Esto corrige la vulnerabilidad de denegación de servicio causada por el manejo inadecuado de solicitudes de rango múltiple.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33658 is a Denial of Service vulnerability in Ruby on Rails Active Storage versions up to 8.1.2. Attackers can exploit it by sending requests with many byte ranges, causing high CPU usage.
Yes, if you are using Ruby on Rails Active Storage versions 8.1.2 or earlier, you are affected by this vulnerability.
Upgrade to Ruby on Rails version 8.1.2.1 or later to resolve the vulnerability. Consider rate limiting or WAF rules as temporary mitigations.
As of now, there are no publicly known exploits or active campaigns targeting CVE-2026-33658.
Refer to the official Ruby on Rails security advisories for details: [https://github.com/rails/rails/security/advisories/CVE-2026-33658](https://github.com/rails/rails/security/advisories/CVE-2026-33658)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.