Katalog CVE

CVE-2026-38969

Niskie ryzyko· EPSS 6%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece WEBrick języka Ruby (do wersji 1.9.2) polega na ponownym parsowaniu nagłówka Content-Length w trailerze żądania, co umożliwia atak typu request smuggling.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przemycenia złośliwych żądań HTTP, co może prowadzić do ominięcia mechanizmów bezpieczeństwa, przechwycenia sesji lub ataków na inne aplikacje za serwerem proxy.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę WEBrick do wersji 1.9.3 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

ruby webrick through v1.9.2 WEBrick reparses trailer Content-Length into canonical request state, enabling request smuggling.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS