प्लेटफ़ॉर्म
ruby
घटक
rack
में ठीक किया गया
2.2.23
3.0.1
3.2.1
2.2.22
CVE-2026-22860 एक Directory Traversal भेद्यता है जो Ruby Rack लाइब्रेरी में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत निर्देशिकाओं तक पहुँचने और संवेदनशील जानकारी प्रकट करने की अनुमति दे सकती है। यह भेद्यता Rack के 2.2.9 से कम या उसके बराबर संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, Rack को 2.2.22 में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को Rack::Directory के माध्यम से रूट निर्देशिका के बाहर फ़ाइलों को सूचीबद्ध करने की अनुमति देती है। उदाहरण के लिए, यदि सर्वर रूट /var/www/root है, तो /var/www/root_backup जैसे पथ की जाँच पास हो जाएगी क्योंकि यह रूट स्ट्रिंग को साझा करता है। इससे हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा तक पहुँच सकते हैं जो रूट निर्देशिका के बाहर संग्रहीत हैं। इस भेद्यता का उपयोग सिस्टम पर आगे के हमले शुरू करने के लिए भी किया जा सकता है, जैसे कि कमांड निष्पादन या डेटा चोरी। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो Rack का उपयोग वेब एप्लिकेशन फ्रेमवर्क के रूप में करते हैं, क्योंकि यह हमलावरों को एप्लिकेशन के आंतरिक कामकाज तक पहुँचने की अनुमति दे सकता है।
CVE-2026-22860 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक रूप से उपलब्ध विवरण के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन उन्हें अभी तक व्यापक रूप से साझा नहीं किया गया है।
Applications built using the Ruby Rack framework, particularly those that expose directory listing functionality or handle user-supplied paths without proper validation, are at risk. Shared hosting environments where multiple applications share the same Rack installation are also particularly vulnerable, as a compromise of one application could potentially expose the entire environment.
• ruby / gem: Use gem list to identify Rack versions. Look for versions less than or equal to 2.2.9.
gem list rack• linux / server: Examine web server access logs for requests containing suspicious path traversal sequences (e.g., ../).
grep '../' /var/log/apache2/access.log• generic web: Test Rack-based applications with path traversal payloads (e.g., /../etc/passwd) to identify potential vulnerabilities. Use curl to send requests and inspect the response.
curl http://your-rack-app/../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVE-2026-22860 को कम करने के लिए, Rack को 2.2.22 या बाद के संस्करण में तुरंत अपडेट करने की सिफारिश की जाती है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके /../ जैसे संदिग्ध पथों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, Rack::Directory के लिए रूट निर्देशिका को सख्त रूप से कॉन्फ़िगर करना और अनावश्यक फ़ाइलों और निर्देशिकाओं को हटाना महत्वपूर्ण है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, रूट निर्देशिका के बाहर फ़ाइलों तक पहुँचने का प्रयास करके जाँच करें।
Rack जेम को संस्करण 2.2.22 या उच्चतर, 3.1.20 या उच्चतर, या 3.2.5 या उच्चतर में अपडेट करें। यह डायरेक्टरी ट्रैवर्सल भेद्यता को ठीक कर देगा। नवीनतम सुरक्षित संस्करण में अपडेट करने के लिए `gem update rack` चलाएँ।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22860 Rack लाइब्रेरी में एक Directory Traversal भेद्यता है जो हमलावरों को अनधिकृत निर्देशिकाओं तक पहुँचने की अनुमति देती है।
यदि आप Rack के 2.2.9 से कम या उसके बराबर संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-22860 को ठीक करने के लिए, Rack को 2.2.22 या बाद के संस्करण में अपडेट करें।
CVE-2026-22860 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
आप आधिकारिक Rack सलाहकार https://github.com/rack/rack/security/advisories/GHSA-9g4x-p49x-x49g पर पा सकते हैं।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।