CVE-2025-61594: обхід попередніх виправлень витоку облікових даних URI
Опублікував hsbt 07-10-2025
Переклав: Andrii Furmanets
Ми опублікували повідомлення з безпеки щодо CVE-2025-61594.
CVE-2025-61594: обхід виправлення CVE-2025-27221 для витоку облікових даних URI
У вразливих версіях URI існує обхід виправлення CVE-2025-27221, який може розкрити облікові дані користувача.
Цій вразливості присвоєно ідентифікатор CVE CVE-2025-61594. Рекомендуємо оновити gem uri.
Деталі
Під час використання оператора + для об’єднання URI чутлива інформація, як-от паролі з початкового URI, може витікати. Це порушує RFC3986 і робить застосунки вразливими до розкриття облікових даних.
Будь ласка, оновіть gem URI до версії 0.12.5, 0.13.3, 1.0.4 або новішої.
Уражені версії
- версії gem uri < 0.12.5, 0.13.0-0.13.2 та 1.0.0-1.0.3.
Подяки
Дякуємо junfuchong (chongfujun) за виявлення цієї проблеми. Також дякуємо nobu за додаткові виправлення цієї вразливості.
Історія
- Початково опубліковано 2025-10-07 0:00:00 (UTC)
Останні новини
Оновлення айдентики нашого сайту
Раді оголосити про комплексне оновлення нашого сайту. Дизайн для цього оновлення створила Taeko Akatsuka.
Опублікував Hiroshi SHIBATA 22-12-2025
Вийшов Ruby 4.0.0 preview3
Раді повідомити про вихід Ruby 4.0.0-preview3. Ruby 4.0 вводить Ruby::Box і “ZJIT” та додає багато покращень.
Опублікував naruse 18-12-2025
Вийшов Ruby 3.4.8
Вийшов Ruby 3.4.8.
Опублікував k0kubun 17-12-2025
Вийшов Ruby 4.0.0 preview2
Раді повідомити про вихід Ruby 4.0.0-preview2. Ruby 4.0 оновлює версію Unicode до 17,0.0 тощо.
Опублікував naruse 17-11-2025