Pesquisadores de cibersegurança identificaram três vulnerabilidades no Rack, interface do servidor web Ruby, que podem permitir acesso não autorizado a arquivos, injeção de dados maliciosos e manipulação de registros, dependendo da configuração do sistema. A mais crítica delas, a CVE-2025-27610 (pontuação CVSS: 7.5), trata-se de uma falha de path traversal, que permite a leitura de arquivos fora do diretório configurado, incluindo dados confidenciais como credenciais e arquivos de configuração.

Isso ocorre porque o middleware Rack::Static, responsável por servir arquivos estáticos como JavaScript e CSS, não sanitiza corretamente os caminhos fornecidos pelos usuários. Quando o parâmetro :root não é definido, o Rack assume como raiz o diretório atual (Dir.pwd), o que pode expor arquivos sensíveis. As outras duas vulnerabilidades (CVE-2025-27111 e CVE-2025-25184, com pontuações CVSS de 6.9 e 5.7) envolvem falhas na neutralização de caracteres CRLF, o que pode levar à manipulação de logs e à inserção de dados maliciosos nos registros do sistema.

Para mitigar os riscos, recomenda-se atualizar para a versão mais recente do Rack. Caso isso não seja possível, deve-se remover o uso do Rack::Static ou garantir que o diretório :root contenha apenas arquivos públicos. No mesmo relatório, foi divulgada uma falha crítica (CVE-2025-43928, CVSS: 9.8) no Infodraw Media Relay Service, usado por agências de segurança e transporte. Através de uma simples exploração de path traversal no campo de login, um invasor pode ler ou deletar qualquer arquivo do sistema. Ainda sem correção, a recomendação é retirar o sistema do ar ou restringir o acesso por VPN ou IPs específicos.