Plateforme
ruby
Composant
rack
Corrigé dans
2.2.24
3.0.1
3.2.1
2.2.23
La vulnérabilité CVE-2026-34826 est une faille de type DoS (Denial of Service) affectant la bibliothèque Rack, spécifiquement la fonction Rack::Utils.getbyteranges. Un attaquant peut exploiter cette vulnérabilité en envoyant un grand nombre de requêtes HTTP Range multiples et petites, ce qui entraîne une consommation excessive des ressources du serveur, rendant le service indisponible. Les versions de Rack affectées sont celles inférieures ou égales à 2.2.9. La correction est disponible dans la version 2.2.23.
Cette vulnérabilité permet à un attaquant de provoquer un déni de service (DoS) en surchargeant le serveur avec des requêtes HTTP Range malformées. L'attaquant peut fournir de nombreux petits intervalles de bytes qui se chevauchent, comme 0-0,0-0,0-0,..., pour déclencher une consommation disproportionnée de CPU, de mémoire, d'I/O et de bande passante par requête. Cela peut entraîner une incapacité du serveur à répondre aux requêtes légitimes, affectant ainsi la disponibilité des applications web qui utilisent Rack pour servir des fichiers. Bien que la correction précédente pour CVE-2024-26141 limitait la taille totale des bytes, elle ne restreignait pas le nombre d'intervalles, laissant ouverte cette voie d'attaque. Un tel DoS peut impacter significativement les performances et la stabilité des applications web.
La publication de cette vulnérabilité a eu lieu le 2 avril 2026. La sévérité est évaluée à MEDIUM (CVSS 5.3). Il n'y a pas d'indication d'une exploitation active à l'heure actuelle, ni de présence sur KEV ou d'EPSS score disponible. Il est recommandé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles campagnes d'exploitation.
Applications and services utilizing Rack for file serving, particularly those running older versions (≤2.2.9), are at risk. This includes web applications, APIs, and any system relying on Rack to handle HTTP requests and serve files. Shared hosting environments where Rack is used could be particularly vulnerable, as a compromised tenant could potentially impact other users on the same server.
• ruby / server:
ps aux | grep 'Rack::Utils.get_byte_ranges'• generic web:
curl -I 'http://your-rack-app/file.txt?Range=0-0,0-0,0-0,0-0,0-0' | grep 'Server: Rack'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque Rack vers la version 2.2.23 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en place. Ces mesures incluent la configuration de pare-feu applicatifs web (WAF) pour bloquer les requêtes avec un nombre excessif d'en-têtes Range. Il est également possible de configurer un proxy inverse pour limiter le nombre de requêtes Range par client. Enfin, une analyse des logs du serveur peut aider à identifier les tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez la configuration de Rack et assurez-vous que les en-têtes Range sont correctement gérés.
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior, según corresponda a su versión actual. Esto solucionará la vulnerabilidad de denegación de servicio causada por el procesamiento ilimitado de rangos de bytes en las cabeceras HTTP Range.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34826 is a denial-of-service vulnerability in the Ruby Rack library affecting versions 2.2.9 and earlier. Attackers can exploit it by sending numerous overlapping byte range requests, causing resource exhaustion.
You are affected if you are using Rack version 2.2.9 or earlier. Check your Rack version and upgrade if necessary.
Upgrade to Rack version 2.2.23 or later to resolve the vulnerability. Consider WAF rules or rate limiting as temporary mitigations.
As of the current assessment, CVE-2026-34826 is not known to be actively exploited, but the vulnerability's nature makes it easily exploitable.
Refer to the official Ruby Rack project website and security advisories for the latest information and updates regarding CVE-2026-34826.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.