https://blog.qife122.com/tags/ruby%E5%BC%80%E5%8F%91/ Recent content in Ruby开发 on 办公AI智能小助手 Hugo zh-cn qife Thu, 27 Nov 2025 01:16:41 +0800 https://blog.qife122.com/p/rack%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90cve-2025-61780%E5%AE%89%E5%85%A8%E9%A2%84%E8%AD%A6/ Thu, 27 Nov 2025 01:16:41 +0800 https://blog.qife122.com/p/rack%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90cve-2025-61780%E5%AE%89%E5%85%A8%E9%A2%84%E8%AD%A6/ <h2 id="漏洞详情">漏洞详情</h2> <h3 id="包信息">包信息</h3> <ul> <li><strong>包名</strong>: rack (RubyGems)</li> <li><strong>受影响版本</strong>: <ul> <li>&lt; 2.2.20</li> <li> <blockquote> <p>= 3.0, &lt; 3.1.18</p> </blockquote> </li> <li> <blockquote> <p>= 3.2, &lt; 3.2.3</p> </blockquote> </li> </ul> </li> <li><strong>已修复版本</strong>: <ul> <li>2.2.20</li> <li>3.1.18</li> <li>3.2.3</li> </ul> </li> </ul> <h3 id="漏洞描述">漏洞描述</h3> <h4 id="摘要">摘要</h4> <p>Rack::Sendfile在支持x-sendfile头部的代理（如Nginx）后运行时，存在可能的信息泄露漏洞。特制构造的头部可能导致Rack::Sendfile与代理通信错误，触发意外的内部请求，可能绕过代理级别的访问限制。</p>