Plateforme
ruby
Composant
rack
Corrigé dans
2.2.24
3.0.1
3.2.1
2.2.23
La vulnérabilité CVE-2026-34786 concerne Rack::Static, un composant Ruby. Elle permet à un attaquant de contourner les règles de headers de sécurité appliquées aux fichiers statiques en utilisant des URL encodées. Les versions de Rack concernées sont celles inférieures ou égales à 2.2.9. Une mise à jour vers la version 2.2.23 corrige ce problème.
Cette vulnérabilité permet à un attaquant de contourner les règles de headers configurées dans Rack::Static. Ces headers sont souvent utilisés pour renforcer la sécurité des fichiers statiques, par exemple en définissant des politiques de sécurité de contenu (CSP) ou en masquant les en-têtes sensibles. En servant des fichiers statiques via une URL encodée, l'attaquant peut éviter l'application de ces headers, ce qui peut entraîner des failles de sécurité telles que le cross-site scripting (XSS) ou la divulgation d'informations sensibles. Le risque est particulièrement élevé dans les environnements où Rack::Static est utilisé pour servir du contenu sensible ou critique.
La vulnérabilité a été publiée le 2 avril 2026. La probabilité d'exploitation est considérée comme moyenne (EPSS score non disponible). Il n'y a pas d'indicateurs publics d'exploitation active à ce jour, ni de preuves de campagnes ciblées. La vulnérabilité est référencée par le NVD (National Vulnerability Database).
Applications using Rack for serving static content, particularly those relying on Rack::Static to enforce security headers, are at risk. This includes web applications deployed on Ruby on Rails and other Ruby frameworks that leverage Rack. Shared hosting environments where Rack is used to serve static assets are also particularly vulnerable.
• ruby / server:
ps aux | grep rack• generic web:
curl -I 'https://example.com/%2e%2e%2f' # Check for unexpected headers• generic web:
curl -I 'https://example.com/%2e%2e%2f%2e%2e%2f' # Check for unexpected headersdisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation consiste à mettre à jour Rack vers la version 2.2.23 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à valider et décoder les URL avant de les utiliser avec Rack::Static. Il est également possible de configurer un proxy inverse ou un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des URL encodées suspectes. Vérifiez après la mise à jour que les headers de sécurité sont correctement appliqués aux fichiers statiques en effectuant un test de requêtes avec et sans encodage d'URL.
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior. Esto corregirá la vulnerabilidad de omisión de header_rules mediante rutas codificadas en URL. Ejecute `gem update rack` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34786 is a medium-severity vulnerability in Rack versions 2.2.9 and earlier that allows attackers to bypass security headers on static content by using URL-encoded paths.
You are affected if you are using Rack version 2.2.9 or earlier and rely on Rack::Static to apply security headers to static content.
Upgrade to Rack version 2.2.23 or later to resolve the vulnerability. As a temporary workaround, implement a WAF rule to decode URLs before Rack::Static processing.
There is currently no indication of active exploitation, but the vulnerability is conceptually easy to exploit.
Refer to the official Ruby security advisory for details: [https://ruby-sec.io/](https://ruby-sec.io/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.