发布日期：2024-10-15
更新日期：2024-12-05

受影响系统：

Rails Action Pack < 7.2.1.1
Rails Action Pack < 7.1.4.1
Rails Action Pack < 7.0.8.5
Rails Action Pack 3.1.0 - < 6.1.7.9

描述：

---

CVE(CAN) ID: CVE-2024-41128

Rails Action Pack是美国Rails团队的一个web框架,提供了路由机制（将请求URL映射到动作），定义实现动作的控制器以及通过渲染视图（各种格式的模板）生成响应的机制。
Rails Action Pack存在拒绝服务漏洞，以下版本受到影响：3.1.0至6.1.7.9之前版本、7.0.8.5之前版本、7.1.4.1之前版本和7.2.1.1之前版本,该漏洞源于在查询参数过滤例程中，精心构造的查询参数可能导致过滤过程消耗意外的时间，攻击者可利用该漏洞可能会导致拒绝服务（DoS）攻击。

<**>

建议：

---

厂商补丁：

Rails
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://rubygems.org/gems/actionpack

浏览次数：109
严重程度：0（网友投票）