CVE-2025-61594: Filtración de credenciales de URI elude correciones anteriores
Publicado por hsbt el 2025-10-07
Traducción de vtamara
Publicamos una advertencia de seguridad para CVE-2025-61594.
CVE-2025-61594: Filtración de credenciales de URI respecto a CVE-2025-27221
En las versiones afectadas de URI, hay una forma de eludir la corrección para CVE-2025-27221 que puede exponer las credenciales del usuario.
A esta vulnerabilidad se le ha asignado el identificador CVE-2025-61594. Recomendamos actualizar la gema uri.
Detalles
Cuando se usa el operador + para combinar URIs, puede filtrarse información
sensitiva como claves del URI original, violando el RFC3986 y haciendo
la aplicación vulnerable a la filtración de credenciales.
Por favor actualice la gema URI a la versión 0.12.5, 0.13.3, 1.0.4 o posterior.
Versiones afectadas
- Gema uri versions < 0.12.5, 0.13.0 to 0.13.2 and 1.0.0 to 1.0.3.
Creditos
Agradecemos a junfuchong (chongfujun) por descubir este problema. También agradecemos a nobu por correciones adicionales a esta vulnerabilidad.
Historia
- Publicado originalmente el 2025-10-07 0:00:00 (UTC)
Noticias recientes
Publicado Ruby 4.0.0 preview3
Nos complace anunciar la publicación de Ruby 4.0.0-preview3. Ruby 4.0 introduce Ruby::BOX y “ZJIT”, y agrega muchas mejoras.
Publicado por naruse el 2025-12-18
Publicación de Ruby 3.4.8
Ruby 3.4.8 ha sido publicado.
Publicado por k0kubun el 2025-12-17
Publicación de Ruby 4.0.0 preview2
Nos complace anunciar el lanzamiento de Ruby 4.0.0-preview2. Ruby 4.0 actualiza su versión de Unicode a 17.0.0, entre otras novedades.
Publicado por naruse el 2025-11-17
Publicación de Ruby 3.3.10
Ruby 3.3.10 ha sido publicado.
Publicado por nagachika el 2025-10-23