关键信息 漏洞概述 漏洞名称: Unbounded read in form parsing can lead to memory exhaustion. CVE ID: CVE-2025-61919 GHSA ID: GHSA-6xw4-3v39-52mm 发布者: ioquatix 发布时间: 20小时前 影响版本 受影响版本: - = 3.0, = 3.2, < 3.2.3 修复版本: - 2.2.20 - 3.1.18 - 3.2.3 严重性 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 CVSS 分数: 7.5 / 10 漏洞描述 摘要: 当处理 的请求时, 会将整个请求体读入内存,而不会强制执行长度或上限。这可能导致大型请求体在解析前完全缓冲到进程内存中,从而通过内存耗尽导致拒绝服务(DoS)。 详细信息: 在处理非多部分表单提交时,Rack 的请求解析器执行以下操作: 由于 被调用时没有参数,整个请求体被加载到一个 Ruby 字符串中。这发生在查询参数解析或任何 强制执行之前。因此,没有上游主体大小限制的 Rack 应用程序可能会经历与请求大小成比例的无界内存分配。 影响 攻击者可以发送大型 主体来消耗进程内存,导致系统变慢或由操作系统终止(OOM)。效果与请求大小和并发性呈线性关系。即使配置了解析限制,问题也会在这些限制生效之前出现。 缓解措施 更新到修补后的 Rack 版本,该版本使用 强制执行表单参数限制,防止对 主体的无界读取。 在代理或 Web 服务器层(例如 Nginx 的 、Apache 的 )强制执行严格的最大主体大小。