CVE-2025-46336 (rack-session): Rack session gets restored after deletion
a year ago
- #rack
- #session
- #security
- Rack::Session::Pool中间件漏洞允许会话在删除后被恢复
- 未认证用户若在注销时触发长时间运行的请求,可能占用会话
- 影响版本<2.0.0;已通过>=2.1.1版本修复
- 缓解措施包括更新rack-session、原子化地使会话失效,或实现自定义会话存储
- 与Rack<3中的类似问题相关(GHSA-vpfw-47h7-xj4g)