Sinatra on 办公AI智能小助手 https://blog.qife122.com/tags/sinatra/ Recent content in Sinatra on 办公AI智能小助手 Hugo zh-cn qife Thu, 01 Jan 2026 17:07:56 +0800 Sinatra框架存在ETag头生成导致的ReDoS漏洞 https://blog.qife122.com/p/sinatra%E6%A1%86%E6%9E%B6%E5%AD%98%E5%9C%A8etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AF%BC%E8%87%B4%E7%9A%84redos%E6%BC%8F%E6%B4%9E/ Thu, 01 Jan 2026 17:07:56 +0800 https://blog.qife122.com/p/sinatra%E6%A1%86%E6%9E%B6%E5%AD%98%E5%9C%A8etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AF%BC%E8%87%B4%E7%9A%84redos%E6%BC%8F%E6%B4%9E/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>CVE编号:</strong> CVE-2025-61921 <strong>GHSA编号:</strong> GHSA-mr3q-g2mv-mr4q <strong>受影响版本:</strong> Sinatra &lt; 4.2.0 <strong>已修复版本:</strong> Sinatra 4.2.0 <strong>严重性:</strong> 低 (CVSS v4.0 评分为2.7)</p> <h3 id="漏洞描述">漏洞描述</h3> <h4 id="摘要">摘要</h4> <p>Sinatra框架的If-Match和If-None-Match请求头解析组件存在拒绝服务漏洞,当使用<code>etag</code>方法构建响应且运行在Ruby 3.2以下版本时,该漏洞可能被利用。</p> Sinatra ETag头生成存在正则表达式拒绝服务漏洞 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E/ Wed, 03 Dec 2025 14:04:15 +0800 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9E/ <h1 id="漏洞详情">漏洞详情</h1> <p><strong>包名</strong> bundler sinatra (RubyGems)</p> <p><strong>受影响版本</strong> &lt; 4.2.0</p> <p><strong>已修复版本</strong> 4.2.0</p> <p><strong>描述</strong></p> <p><strong>概要</strong> Sinatra的If-Match和If-None-Match请求头解析组件存在拒绝服务漏洞,前提是在构建响应时使用了<code>etag</code>方法且运行在Ruby &lt; 3.2的环境中。</p> Sinatra ETag头生成存在ReDoS漏洞分析 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8redos%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sun, 16 Nov 2025 23:08:53 +0800 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8redos%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="sinatra存在通过etag头生成导致的redos漏洞">Sinatra存在通过ETag头生成导致的ReDoS漏洞</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE ID</strong>: CVE-2025-61921<br> <strong>严重程度</strong>: 低危 (CVSS评分2.7)<br> <strong>影响版本</strong>: Sinatra &lt; 4.2.0<br> <strong>修复版本</strong>: Sinatra 4.2.0</p> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="漏洞描述">漏洞描述</h3> <p>Sinatra的If-Match和If-None-Match头解析组件存在拒绝服务漏洞,当使用etag方法构建响应且运行在Ruby 3.2以下版本时,攻击者可以通过精心构造的输入导致头解析过程消耗异常长的时间,可能造成拒绝服务攻击向量。</p> Sinatra ETag头生成存在ReDoS漏洞解析 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8redos%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Tue, 04 Nov 2025 19:20:23 +0800 https://blog.qife122.com/p/sinatra-etag%E5%A4%B4%E7%94%9F%E6%88%90%E5%AD%98%E5%9C%A8redos%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h2 id="漏洞详情">漏洞详情</h2> <p><strong>包信息</strong></p> <ul> <li>包管理器:bundler</li> <li>包名称:sinatra (RubyGems)</li> </ul> <p><strong>受影响版本</strong></p> <ul> <li>&lt; 4.2.0</li> </ul> <p><strong>已修复版本</strong></p> <ul> <li>4.2.0</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="概要">概要</h3> <p>Sinatra在ETag头值生成过程中存在拒绝服务漏洞。</p>