Publicado por mame el 2022-11-22
Traducción de vtamara
Hemos publicado las versiones 0.3.5, 0.2.2 y 0.1.0.2 de la gema cgi, que incluyen una corrección de seguridad para una vulnerabilidad de división de respuesta HTTP. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2021-33621.
Detalles
En una aplicación que genere una respuesta HTTP usando la gema cgi con una dato no confiable suministrado por el usuario, un atacante podría explotar la falla para inyectar contenido malicioso en el encabezado o en el cuerpo de la respuesta HTTP.
Así mismo el contenido del objeto CGI::Cookie no estaba siendo
verificado de manera apropiada. En una aplicación que cree un objeto
CGI::Cookie con base en datos suministrados por el usuario,
un atacante podría explotar la falla para inyectar atributos
inválidos en el encabezado Set-Cookie. Pensamos que es poco
probable que haya aplicaciones así, pero hemos incluido un cambio
para verificar los argumentos de CGI::Cookie#initialize de manera
preventiva.
Por favor actualice la gema cgi a una de las versiones 0.3.5, 0.2.2 o 0.1.0.2
o posteriores. Puede ejecutar gem update cgi para actualizarla.
Si está usando bundler, por favor agregue gem "cgi", ">= 0.3.5" a su
Gemfile.
Versiones afectadas
- gema cgi 0.3.3 y anteriores
- gema cgi 0.2.1 y anteriores
- gema cgi 0.1.1, 0.1.0.1 y 0.1.0
Creditos
Agradecemos a Hiroshi Tokumaru por descubrir los problemas.
Historia
- Publicado originalmente el 2022-11-22 02:00:00 (UTC)