事例:CVE-2025-25184: Possible log Injection in Rack::CommonLogger - rubyのコードをセキュリティの観点から見るときの参考用

事例:CVE-2025-25184: Possible log Injection in Rack::CommonLogger

https://github.com/rack/rack/security/advisories/GHSA-7g2v-jj9q-g3rg

Rack::CommonLoggerのlog injection

Rack::CommonLoggerが呼ばれた際、REMOTE_USERの値を通して改行を含んだログが記録される

https://github.com/rack/rack/blob/v3.1.10/lib/rack/common_logger.rb

修正

https://github.com/rack/rack/commit/4aa19786a0aad7ff2ca66eeaede4a257cc7b0726

\nが除外されるようになっている

2025/2/16の時点では3.1.11が修正バージョンとなっているが、3.1.10の様子

https://github.com/rack/rack/issues/2284