Plataforma
ruby
Componente
rack
Corrigido em
2.2.24
3.0.1
3.2.1
2.2.23
A vulnerabilidade CVE-2026-34826 é uma falha de Negação de Serviço (DoS) encontrada na biblioteca Rack, especificamente na função Rack::Utils.getbyteranges. Um atacante pode explorar essa falha fornecendo um grande número de ranges de bytes sobrepostos, levando a um consumo excessivo de CPU, memória, I/O e largura de banda. A vulnerabilidade afeta versões do Rack anteriores ou iguais a 2.2.9 e pode ser mitigada atualizando para a versão 2.2.23.
A exploração bem-sucedida desta vulnerabilidade pode resultar em uma negação de serviço, tornando o sistema inacessível aos usuários legítimos. O atacante pode sobrecarregar o servidor com requisições que consomem recursos de forma desproporcional, impedindo que ele responda a outras requisições. O impacto é particularmente grave em aplicações web que utilizam Rack para servir arquivos, pois a falha ocorre no processamento de respostas multipartes com ranges de bytes. A incapacidade de servir arquivos pode levar à interrupção de serviços críticos e perda de receita.
A vulnerabilidade foi publicada em 02 de abril de 2026. A avaliação de probabilidade de exploração está pendente. Não há evidências públicas de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas. É importante aplicar as medidas de mitigação o mais rápido possível para reduzir o risco de exploração futura.
Applications and services utilizing Rack for file serving, particularly those running older versions (≤2.2.9), are at risk. This includes web applications, APIs, and any system relying on Rack to handle HTTP requests and serve files. Shared hosting environments where Rack is used could be particularly vulnerable, as a compromised tenant could potentially impact other users on the same server.
• ruby / server:
ps aux | grep 'Rack::Utils.get_byte_ranges'• generic web:
curl -I 'http://your-rack-app/file.txt?Range=0-0,0-0,0-0,0-0,0-0' | grep 'Server: Rack'disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34826 é atualizar a biblioteca Rack para a versão 2.2.23 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar workarounds, como limitar o número de ranges de bytes permitidos em requisições HTTP Range. Configurar um Web Application Firewall (WAF) para bloquear requisições com um número excessivo de ranges de bytes também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de padrões de requisições anormais que possam indicar uma tentativa de exploração.
Actualice la gema Rack a la versión 2.2.23, 3.1.21 o 3.2.6, o superior, según corresponda a su versión actual. Esto solucionará la vulnerabilidad de denegación de servicio causada por el procesamiento ilimitado de rangos de bytes en las cabeceras HTTP Range.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34826 is a denial-of-service vulnerability in the Ruby Rack library affecting versions 2.2.9 and earlier. Attackers can exploit it by sending numerous overlapping byte range requests, causing resource exhaustion.
You are affected if you are using Rack version 2.2.9 or earlier. Check your Rack version and upgrade if necessary.
Upgrade to Rack version 2.2.23 or later to resolve the vulnerability. Consider WAF rules or rate limiting as temporary mitigations.
As of the current assessment, CVE-2026-34826 is not known to be actively exploited, but the vulnerability's nature makes it easily exploitable.
Refer to the official Ruby Rack project website and security advisories for the latest information and updates regarding CVE-2026-34826.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Gemfile.lock e descubra na hora se você está afetado.