BDU:2025-13873
Уязвимость класса Rack::Sendfile модульного интерфейса между веб-серверами и веб-приложениями Rack, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
📄 Описание
Уязвимость класса Rack::Sendfile модульного интерфейса между веб-серверами и веб-приложениями Rack связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально созданных заголовков
🖥️ Уязвимое ПО
Novell Inc., Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», Leah Neukirchen, АО "НППКТ"
Наименование ПО: OpenSUSE Leap, Red Hat 3scale API Management Platform, Openshift Service Mesh, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Satellite, Red Hat Enterprise Linux, Rack, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО: 15.5 (OpenSUSE Leap), 2 (Red Hat 3scale API Management Platform), 15.3 (OpenSUSE Leap), 2 (Openshift Service Mesh), 11 (Debian GNU/Linux), 12 (Debian GNU/Linux), 7.3 (РЕД ОС), 15.4 (OpenSUSE Leap), 6 (Red Hat Satellite), 9 (Red Hat Enterprise Linux), 15.6 (OpenSUSE Leap), 10 (Red Hat Enterprise Linux), 13 (Debian GNU/Linux), до 2.2.20 (Rack), от 3.0 до 3.1.18 (Rack), от 3.2 до 3.2.3 (Rack), до 3.1 (ОСОН ОСнова Оnyx)
Тип ПО: Операционная система, Прикладное ПО информационных систем
ОС / платформа: Novell Inc. OpenSUSE Leap 15.5 , Novell Inc. OpenSUSE Leap 15.3 , Сообщество свободного программного обеспечения Debian GNU/Linux 11 , Сообщество свободного программного обеспечения Debian GNU/Linux 12 , ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751), Novell Inc. OpenSUSE Leap 15.4 , Red Hat Inc. Red Hat Enterprise Linux 9 , Novell Inc. OpenSUSE Leap 15.6 , Red Hat Inc. Red Hat Enterprise Linux 10 , Сообщество свободного программного обеспечения Debian GNU/Linux 13 , АО "НППКТ" ОСОН ОСнова Оnyx до 3.1 (запись в едином реестре российских программ №5913)
⚙️ Технические сведения
Тип ошибки
Раскрытие информации (CWE-200), Непреднамеренный прокси-сервер или посредник (CWE-441), Недостаточный контроль ресурсов кода с динамическим управлением (CWE-913)
Класс уязвимости
Уязвимость многофакторная
Дата выявления
10.10.2025
Способ эксплуатации
Несанкционированный сбор информации, Подмена при взаимодействии, Манипулирование ресурсами
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 3.0
AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N
⚠️ Уровень опасности
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,8)
🔗 Источники и меры
🔗 https://github.com/rack/rack/commit/57277b7741581f... 🔗 https://github.com/rack/rack/commit/7e69f65eefe9cd... 🔗 https://github.com/rack/rack/commit/fba2c8bc63eb78... 🔗 https://github.com/rack/rack/security/advisories/G... 🔗 https://access.redhat.com/security/cve/cve-2025-61... 🔗 https://security-tracker.debian.org/tracker/CVE-20... 🔗 https://www.suse.com/security/cve/CVE-2025-61780.h... 🔗 https://redos.red-soft.ru/support/secure/uyazvimos... 🔗 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновле...
🏷️ Идентификаторы
CVE-2025-61780
📅 Даты
Дата публикации
07.11.2025
Последнее обновление
04.03.2026
← Назад к списку