Informazioni sul CVE-2025-27111
Escape Sequence Injection vulnerability in Rack lead to Possible Log Injection
CWE ID: CWE-93
Base Score (CVSS): 6.9
CVE: CVE-2025-27111
Descrizione: Il Rack è un’interfaccia web Ruby modulare per server. Il middleware Rack::Sendfile registra valori di header non sanitizzati dall’header X-Sendfile-Type. Un attaccante può sfruttare questa vulnerabilità iniettando sequenze di escape (come caratteri di nuova riga) nel header, causando iniezione di log. Questa vulnerabilità è stata corretta in 2.2.12, 3.0.13 e 3.1.11.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Punteggio Base (calcolato da AziendaSicura): 0.0 (None)
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/rack/rack/security/advisories/GHSA-8cgq-6mh2-7j6v
- https://github.com/rack/rack/commit/803aa221e8302719715e224f4476e438f2531a53
- https://github.com/rack/rack/commit/aeac570bb8080ca7b53b7f2e2f67498be7ebd30b
- https://github.com/rack/rack/commit/b13bc6bfc7506aca3478dc5ac1c2ec6fc53f82a3
Prodotti interessati
- rack – rack