HIGHCVE-2015-7581CVSS 7.5

actionpack 存在拒绝服务漏洞，由于通配符控制器路由

平台

ruby

组件

actionpack

修复版本

4.2.5.1

AI Confidence: highNVDEPSS 7.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2015-7581 是 Action Pack Ruby on Rails 中的拒绝服务 (DoS) 漏洞。该漏洞允许远程攻击者通过利用应用程序的通配符控制器路由，导致不必要的缓存和内存消耗，从而造成服务中断。受影响的版本包括 Ruby on Rails 4.x 在 4.2.5.1 之前的版本以及 5.x 在 5.0.0.beta1.1 之前的版本。已发布补丁，建议升级至 4.2.5.1 以缓解此风险。

影响与攻击场景

该漏洞的利用可能导致应用程序出现拒绝服务，使得合法用户无法访问或使用该应用程序。攻击者可以通过精心构造的请求来触发不必要的缓存和内存消耗，从而耗尽服务器资源，导致服务崩溃或响应缓慢。由于 Ruby on Rails 广泛应用于 Web 应用程序开发，因此该漏洞可能影响大量应用程序和用户。虽然该漏洞本身不涉及数据泄露，但服务中断可能会导致业务运营中断和声誉损失。该漏洞的利用模式类似于其他 DoS 攻击，攻击者可能通过自动化脚本或 DDoS 攻击来放大影响。

利用背景

该漏洞已公开披露，并且存在公开的利用代码。虽然目前尚未观察到大规模的利用活动，但由于该漏洞的易利用性，攻击者可能会利用它来发起 DoS 攻击。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。建议尽快采取缓解措施以降低风险。

哪些人处于风险中翻译中…

Applications using Ruby on Rails versions 4.x before 4.2.5.1 and 5.x before 5.0.0.beta1.1 are at risk. This includes web applications deployed on shared hosting environments, legacy applications that have not been regularly updated, and applications utilizing custom routing configurations that might inadvertently expose wildcard routes.

检测步骤翻译中…

• ruby: Monitor Ruby processes for unusually high memory consumption using tools like ps or top.

ps aux | grep ruby | sort -k 4 -nr | head -10

• linux / server: Examine application logs for unusual routing patterns or excessive route generation. Use journalctl to filter for relevant errors or warnings.

journalctl -u your_rails_app -f | grep "route cache"

• generic web: Monitor web server access logs for requests containing unusual or excessively long URL parameters that might be triggering the wildcard route vulnerability.

攻击时间线

2015-12-17Discovery
discovery
2017-10-24Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard10–15% 仍然脆弱

EPSS

7.11% (91% 百分位)

CVSS 向量

受影响的软件

组件actionpack

供应商osv

影响范围修复版本

4.0.04.2.5.1

时间线

发布日期2017-10-24
修改日期2024-11-29
EPSS 更新日期2026-04-02

披露后-637天发布补丁

缓解措施和替代方案

最有效的缓解措施是升级至受影响版本之后的修复版本，即 Ruby on Rails 4.2.5.1。如果无法立即升级，可以考虑实施临时缓解措施，例如限制通配符路由的使用，或者实施速率限制以防止恶意请求。此外，可以配置 Web 应用程序防火墙 (WAF) 或代理服务器来检测和阻止可疑的请求模式。在升级后，请验证应用程序是否正常运行，并检查服务器资源使用情况是否恢复正常。可以通过监控服务器 CPU 和内存使用情况来确认。

修复方法翻译中…

暂无官方补丁。请查找临时解决方案或持续关注更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2015-7581 — DoS 在 Action Pack Ruby on Rails 中？

CVE-2015-7581 是 Action Pack Ruby on Rails 中的拒绝服务漏洞，允许攻击者通过利用通配符路由导致服务中断，造成不必要的缓存和内存消耗。

我是否受到 CVE-2015-7581 在 Action Pack Ruby on Rails 中影响？

如果您使用的是 Ruby on Rails 4.x 在 4.2.5.1 之前的版本，或 5.x 在 5.0.0.beta1.1 之前的版本，并且您的应用程序使用了通配符控制器路由，那么您可能受到影响。

我如何修复 CVE-2015-7581 在 Action Pack Ruby on Rails 中？

升级至 Ruby on Rails 4.2.5.1 或更高版本以修复此漏洞。

CVE-2015-7581 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于该漏洞的易利用性，攻击者可能会利用它来发起 DoS 攻击。

在哪里可以找到官方 Ruby on Rails 关于 CVE-2015-7581 的公告？

请访问 Ruby on Rails 官方安全公告页面：https://github.com/rails/rails/security/advisories