प्लेटफ़ॉर्म
ruby
घटक
rack
में ठीक किया गया
2.2.24
3.0.1
3.2.1
2.2.23
CVE-2026-34763 affects versions of the Ruby Rack library up to 2.2.9. This vulnerability stems from improper handling of regular expression metacharacters within the root configuration parameter of Rack::Directory. An attacker could leverage this to expose sensitive filesystem paths through directory listings, potentially leading to information disclosure.
CVE-2026-34763 Rack::Directory में HTML निर्देशिका सूचियों के माध्यम से पूर्ण फ़ाइल सिस्टम पथों को उजागर करने की अनुमति देता है। यह तब होता है जब Rack::Directory में root पैरामीटर कॉन्फ़िगरेशन में नियमित अभिव्यक्ति मेटा वर्ण (जैसे '+', '*', या '.') शामिल होते हैं। कोड, इस root को सीधे एक नियमित अभिव्यक्ति में एम्बेड करके, अपेक्षित उपसर्ग को हटाने में विफल हो सकता है, जिसके परिणामस्वरूप इच्छित सापेक्ष पथ के बजाय पूर्ण पथ प्रदर्शित होता है। एक हमलावर इसका उपयोग सर्वर के फ़ाइल सिस्टम संरचना के बारे में संवेदनशील जानकारी प्राप्त करने के लिए कर सकता है, जिससे आगे विशेषाधिकार वृद्धि या डेटा चोरी हो सकती है। CVSS गंभीरता 5.3 है, जो मध्यम जोखिम का संकेत देती है।
एक हमलावर Rack::Directory का उपयोग करने वाले वेब एप्लिकेशन को सावधानीपूर्वक तैयार किए गए अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। यदि root पैरामीटर में अनएस्केप किए गए नियमित अभिव्यक्ति वर्ण शामिल हैं, तो हमलावर अनुरोध को इस तरह से हेरफेर कर सकता है कि नियमित अभिव्यक्ति सही ढंग से मेल न खाए, जिसके परिणामस्वरूप फ़ाइल सिस्टम का पूर्ण पथ उजागर हो जाए। उन वातावरणों में शोषण की संभावना अधिक होती है जहां root पैरामीटर उपयोगकर्ता द्वारा कॉन्फ़िगर किया जा सकता है या अविश्वसनीय बाहरी स्रोतों से प्राप्त होता है। शोषण की जटिलता अपेक्षाकृत कम है, क्योंकि इसके लिए उन्नत तकनीकी ज्ञान की आवश्यकता नहीं होती है।
Applications using Rack versions 2.2.9 and earlier are at risk, particularly those that expose directory listing functionality or allow user-controlled configuration of the root parameter. Shared hosting environments where Rack is used and the root path is not carefully managed are also at increased risk.
• ruby / server:
find / -name 'rack-2.2.9*' -type d -print• ruby / server:
grep -r 'Utils.escape_html(path.sub(/\A#{root}/, '')' /usr/local/lib/ruby*/gems*/rack-*/lib/rack/directory.rb• generic web: Inspect directory listing endpoints for unusual file paths or unexpected content. Examine access logs for requests containing regex metacharacters in the directory path.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (11% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34763 के लिए प्राथमिक शमन 'रैक' जेम को संस्करण 2.2.23 या उच्चतर में अपडेट करना है। यह संस्करण root पैरामीटर में नियमित अभिव्यक्ति मेटा वर्णों को ठीक से एस्केप करके भेद्यता को ठीक करता है। यदि तुरंत अपडेट करना संभव नहीं है, तो root पैरामीटर के मान को सावधानीपूर्वक मान्य और साफ करने की सिफारिश की जाती है ताकि यह सुनिश्चित हो सके कि इसमें ऐसे वर्ण शामिल नहीं हैं जिन्हें नियमित अभिव्यक्ति मेटा वर्ण के रूप में व्याख्या किया जा सकता है। इसके अतिरिक्त, निर्देशिका सूचियों तक पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करने से भेद्यता के संभावित प्रभाव को कम किया जा सकता है। किसी भी शमन को लागू करने के बाद, इसकी प्रभावशीलता सुनिश्चित करने के लिए पूरी तरह से परीक्षण करने की सिफारिश की जाती है।
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior, según corresponda a su rama de versión. Esto solucionará la vulnerabilidad de interpolación de expresiones regulares no escapadas en Rack::Directory.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Rack::Directory एक रूबी जेम है जो वेब एप्लिकेशन के माध्यम से निर्देशिका सूचियों को प्रदान करने का एक सरल तरीका प्रदान करता है।
संस्करण 2.2.23 CVE-2026-34763 भेद्यता को ठीक करता है, जो पूर्ण फ़ाइल सिस्टम पथों को उजागर करने की अनुमति देता है।
root पैरामीटर के मान को सावधानीपूर्वक मान्य और साफ करें ताकि अनएस्केप किए गए नियमित अभिव्यक्ति वर्णों से बचा जा सके।
अपने एप्लिकेशन के कोड की जांच करें ताकि यह पता चल सके कि Rack::Directory का उपयोग कहां किया जा रहा है और root पैरामीटर को कैसे कॉन्फ़िगर किया गया है।
अधिकृत उपयोगकर्ताओं तक निर्देशिका सूचियों तक पहुंच को सीमित करने से भेद्यता के संभावित प्रभाव को कम किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Gemfile.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।