Rack-session
Уязвимости
2
Эксплуатируемые
0
Макс. CVSS
9.3
Макс. EPSS
0.00271
Распределение по критичности
Критический
1
Высокий
0
Средний
1
Низкий
0
Затронутые диапазоны версий
2.0.0–2.1.12.0.0–2.1.2
Также сопоставлено как (исходные строки): rack-session
Топ уязвимостей
CVE-2026-39324Rack::Сессия - это реализация управления сеансом для Rack. От 2.0.0 до 2.1.2, рейка::Сессия::Куки неправильно обрабатывает сбои расшифровки при настройке с секретами:. Если расшифровка файлов cookie не работает, реализация возвращается к декодеру по умолчанию вместо отказа от файла cookie. Это позволяет неаутентифицированному злоумышленнику предоставить созданный сеансовый файл cookie, который принимается в качестве действительных данных сеанса без знания какого-либо сконфигурированного секрета. Поскольку этот механизм используется для загрузки состояния сеанса, злоумышленник может манипулировать содержимым сеанса и потенциально получить несанкционированный доступ. Эта уязвимость исправлена в пункте 2.1.2.
CVE-2025-46336Rack::Session - это реализация управления сессиями для Rack. В версиях с 2.0.0 до 2.1.1 (не включая 2.1.1) при использовании middleware Rack::Session::Pool и наличии у злоумышленника возможности получить сессионную куку (что уже является серьёзной проблемой), сессия может быть восстановлена, если злоумышленник инициирует длительный запрос (в рамках той же сессии) одновременно с выходом пользователя, чтобы сохранить несанкционированный доступ даже после попытки выхода [1].
Решение: Обновите Rack до версии 2.1.1 или примените одну из рекомендаций по смягчению: атомарная инвалидация сессий или реализация кастомного хранилища сессий.
Источники:
- [1] https://github.com/rack/rack-session/security/advisories/GHSA-9j94-67jr-4cqj