Platform
ruby
Component
rack
Opgelost in
2.2.23
3.0.1
3.2.1
2.2.22
CVE-2026-22860 beschrijft een Directory Traversal kwetsbaarheid in de Rack middleware, specifiek in de Rack::Directory component. Deze kwetsbaarheid stelt aanvallers in staat om bestanden buiten de geconfigureerde root directory te benaderen, wat kan leiden tot informatieblootstelling. De kwetsbaarheid treft versies van Rack tot en met 2.2.9. Een fix is beschikbaar in versie 2.2.22.
De Directory Traversal kwetsbaarheid in Rack maakt het mogelijk voor een aanvaller om willekeurige bestanden op het systeem te benaderen, mits de aanvaller een pad kan construeren dat de path check omzeilt. Dit kan leiden tot blootstelling van gevoelige configuratiebestanden, broncode, of andere kritieke data. In een scenario waarin de root directory /var/www/root is, kan een pad zoals /var/www/rootbackup de check omzeilen en de inhoud van /var/www/rootbackup onthullen. De impact is aanzienlijk, aangezien een aanvaller potentieel toegang kan krijgen tot de volledige serverbestanden, afhankelijk van de permissies en configuratie.
Op dit moment (2026-02-17) zijn er geen publieke exploits bekend, maar de kwetsbaarheid is openbaar gemaakt. De CVSS score van 7.5 (HIGH) duidt op een aanzienlijk risico. Er is geen vermelding op de CISA KEV catalogus op dit moment. Het is aan te raden om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen.
Applications built using the Ruby Rack framework, particularly those that expose directory listing functionality or handle user-supplied paths without proper validation, are at risk. Shared hosting environments where multiple applications share the same Rack installation are also particularly vulnerable, as a compromise of one application could potentially expose the entire environment.
• ruby / gem: Use gem list to identify Rack versions. Look for versions less than or equal to 2.2.9.
gem list rack• linux / server: Examine web server access logs for requests containing suspicious path traversal sequences (e.g., ../).
grep '../' /var/log/apache2/access.log• generic web: Test Rack-based applications with path traversal payloads (e.g., /../etc/passwd) to identify potential vulnerabilities. Use curl to send requests and inspect the response.
curl http://your-rack-app/../etc/passwddisclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-22860 is het upgraden naar Rack versie 2.2.22 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van Web Application Firewall (WAF) regels om directory traversal pogingen te blokkeren. Controleer de configuratie van Rack::Directory om ervoor te zorgen dat de root directory correct is ingesteld en dat er geen onnodige permissies zijn. Het monitoren van access logs op verdachte paden kan ook helpen bij het detecteren van pogingen tot exploitatie. Na de upgrade, controleer de configuratie van Rack::Directory om te bevestigen dat de root directory correct is ingesteld en dat de kwetsbaarheid is verholpen.
Actualice la gema Rack a la versión 2.2.22 o superior, 3.1.20 o superior, o 3.2.5 o superior. Esto solucionará la vulnerabilidad de recorrido de directorio. Ejecute `gem update rack` para actualizar a la última versión segura.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22860 is a Directory Traversal vulnerability affecting Ruby Rack versions 2.2.9 and earlier. It allows attackers to access files outside the intended web root.
You are affected if you are using Ruby Rack version 2.2.9 or earlier. Check your Rack version using gem list rack.
Upgrade to Ruby Rack version 2.2.22 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the Ruby Rack project's official website and security advisories for the latest information: https://rack.rubyforge.org/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Gemfile.lock-bestand en we vertellen je direct of je getroffen bent.