Rack多部分解析器漏洞：大型非文件字段完全缓冲在内存中导致DoS（内存耗尽）

漏洞详情

包管理器: bundler 受影响组件: rack (RubyGems)

受影响版本

• < 2.2.19

• = 3.1, < 3.1.17

• = 3.2, < 3.2.2

已修复版本

• 2.2.19
• 3.1.17
• 3.2.2

漏洞描述

摘要

Rack::Multipart::Parser将非文件表单字段（没有文件名的部分）完全作为Ruby字符串对象存储在内存中。在multipart/form-data请求中的单个大型文本字段（数百兆字节或更多）可能消耗等效的进程内存，导致内存不足（OOM）条件和拒绝服务（DoS）。

详细说明

在多部分解析期间，文件部分被流式传输到临时文件，但非文件部分被缓冲到内存中：

1
2

body = String.new  # 非文件 → 内存缓冲区
@mime_parts[mime_index].body << content

这些内存缓冲区没有大小限制。因此，任何大型文本字段——虽然在技术上是有效的——都将在添加到params之前完全加载到进程内存中。

影响

攻击者可以发送大型非文件字段来触发过度内存使用。影响随请求大小和并发性而扩展，可能导致工作进程崩溃或严重的垃圾收集开销。所有处理多部分表单提交的Rack应用程序都会受到影响。

缓解措施

升级修复

使用修复版本的Rack，该版本对非文件字段强制执行合理的大小限制（例如2 MiB）。

临时解决方案

• 在Web服务器或代理层限制最大请求体大小（例如Nginx的client_max_body_size）
• 在应用程序级别验证并拒绝异常大的表单字段

参考信息

• GHSA-w9pc-fmgc-vxvw
• https://nvd.nist.gov/vuln/detail/CVE-2025-61771
• rack/rack@589127f
• rack/rack@d869fed
• rack/rack@e08f78c
• https://github.com/rubysec/ruby-advisory-db/blob/master/gems/rack/CVE-2025-61771.yml

安全评分

CVSS总体评分: 7.5（高危）

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：无
• 用户交互：无
• 范围：未改变
• 机密性：无影响
• 完整性：无影响
• 可用性：高影响

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

EPSS评分

0.056%（第17百分位）

弱点分类

CWE-400: 不受控制的资源消耗