Recentemente, i ricercatori di cybersecurity hanno identificato alcune vulnerabilità critiche nel server web Rack per Ruby. Queste problematiche, se sfruttate, potrebbero consentire agli aggressori di accedere a file riservati, iniettare dati malevoli e manomettere i log. Le vulnerabilità individuate, segnalate da OPSWAT, comprendono:

• CVE-2025-27610: Una vulnerabilità di traversal del percorso che permette di accedere a file non autorizzati sotto la directory root specificata, a condizione che l'attaccante riesca a determinare i percorsi di tali file. Questa vulnerabilità ha ottenuto un punteggio CVSS di 7.5, indicandone la gravità.
• CVE-2025-27111: Un'impropria neutralizzazione di sequenze CRLF e una neutralizzazione impropria dell'output per i log, che potrebbe essere sfruttata per manipolare le voci dei log e distorcere i file di log. Il punteggio CVSS è 6.9.
• CVE-2025-25184: Simile alla precedente, riguarda la manipolazione delle voci dei log e l'iniezione di dati malevoli, con un punteggio CVSS di 5.7.

Queste vulnerabilità potrebbero permettere a un attaccante di oscurare le tracce degli attacchi, leggere file arbitrari e iniettare codice malevolo. In particolare, CVE-2025-27610 è particolarmente critica poiché potrebbe consentire a un attaccante non autenticato di recuperare informazioni sensibili, tra cui file di configurazione e credenziali, portando a violazioni dei dati.

Il problema deriva dal fatto che Rack::Static, un middleware utilizzato per servire contenuti statici come JavaScript e immagini, non sanitizza correttamente i percorsi forniti dagli utenti prima di servire i file. Questo può portare a scenari in cui un attaccante può fornire un percorso appositamente creato per accedere a file al di fuori della directory designata.

Per mitigare il rischio, è consigliabile aggiornare alla versione più recente. Se non fosse possibile applicare immediatamente una patch, si suggerisce di rimuovere l'utilizzo di Rack::Static o assicurarsi che il parametro root punti a una directory contenente solo file accessibili pubblicamente.

In parallelo, un difetto critico è stato scoperto nel servizio Infodraw Media Relay, che permette la lettura o l'eliminazione di file arbitrari tramite una vulnerabilità di traversal del percorso (CVE-2025-43928). Questo difetto consente l'accesso non autenticato, e le organizzazioni colpite sono invitate a proteggere ulteriormente i loro sistemi, eventualmente utilizzando VPN o sblocco IP specifici.