Platform
ruby
Component
rack
Opgelost in
2.2.14
3.0.1
3.1.1
2.2.13
CVE-2025-27610 beschrijft een kwetsbaarheid in Rack Static, waarbij ongeautoriseerde toegang tot bestanden mogelijk is. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de beoogde statische bestandsdirectory te benaderen. De kwetsbaarheid treft versies van Rack Static tot en met 2.2.9. Een fix is beschikbaar in versie 2.2.13.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om alle bestanden onder de gespecificeerde root: directory te benaderen, mits ze path traversal sequences kunnen exploiteren. Dit kan leiden tot blootstelling van gevoelige informatie, configuratiebestanden of andere kritieke data. De impact is aanzienlijk, omdat een aanvaller potentieel volledige controle kan krijgen over de bestanden die onder de root directory zijn opgeslagen. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met scenario's waarbij gevoelige data wordt gelekt door middel van ongeautoriseerde toegang tot bestanden.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploitatiecampagnes op dit moment. De publicatie datum van de CVE is 2025-03-10. De kwetsbaarheid is nog niet opgenomen in de CISA KEV catalogus.
Applications using Rack::Static for serving static content, particularly those deployed in production environments, are at risk. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as a compromise of one application could potentially expose files belonging to others. Legacy applications using older versions of Rack::Static are also at increased risk.
• ruby / gem: Use gem list to check for Rack::Static versions. Look for versions <= 2.2.9.
gem list rack-static• linux / server: Examine web server access logs for requests containing path traversal sequences (e.g., ../).
grep '../' /var/log/nginx/access.log• generic web: Use curl to attempt accessing files outside the intended static directory. If successful, the vulnerability is present.
curl http://your-server/../../../../etc/passwddisclosure
Exploit Status
EPSS
0.41% (62% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Rack Static versie 2.2.13 of hoger. Indien een upgrade direct niet mogelijk is, overweeg dan om de root: directory te beperken tot alleen de noodzakelijke statische bestanden. Implementeer een Web Application Firewall (WAF) met regels die path traversal aanvallen detecteren en blokkeren. Controleer de configuratie van Rack Static om er zeker van te zijn dat er geen onnodige bestanden of directories toegankelijk zijn. Na de upgrade, verifieer de fix door te proberen bestanden buiten de beoogde statische bestandsdirectory te benaderen.
Actualice la gema `rack` a la versión 2.2.13, 3.0.14 o 3.1.12 o superior. Alternativamente, elimine el uso de `Rack::Static` o asegúrese de que `root:` apunte a un directorio que solo contenga archivos que deban ser accesibles públicamente. El uso de un CDN o un servidor de archivos estáticos similar también podría mitigar el problema.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-27610 is a path traversal vulnerability in Rack::Static versions 2.2.9 and below, allowing attackers to access files beyond the intended static directory.
You are affected if your application uses Rack::Static version 2.2.9 or earlier. Check your gem dependencies to determine if you are vulnerable.
Upgrade to Rack::Static version 2.2.13 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation if an upgrade is not immediately possible.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the official Rack project website and Ruby security advisories for the latest information and updates regarding CVE-2025-27610.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.