CVE-2025-61594: 이전 수정을 우회한 URI 자격 증명 유출

작성자: hsbt (2025-10-07)
번역자: shia

CVE-2025-61594에 대한 보안 권고문을 발표했습니다.

CVE-2025-61594: CVE-2025-27221을 우회한 URI 자격 증명 유출

영향을 받는 URI 버전에서 CVE-2025-27221 수정 사항을 우회하여 사용자 인증 정보를 노출시킬 수 있는 취약점이 존재합니다.

이 취약점은 CVE 번호 CVE-2025-61594로 등록되었습니다. uri gem 업그레이드를 추천합니다.

세부 내용

+ 연산자를 사용하여 URI를 결합할 때, 원본 URI의 패스워드와 같은 민감한 정보가 유출될 수 있습니다. 이는 RFC3986을 위반하며 애플리케이션이 자격 증명 정보를 노출하게 합니다.

URI gem을 버전 0.12.5, 0.13.3, 1.0.4 이상으로 업데이트해주세요.

해당 버전

• uri gem 버전 0.12.5 미만, 0.13.0부터 0.13.2, 1.0.0부터 1.0.3까지.

도움을 준 사람

이 문제를 발견해 준 junfuchong (chongfujun)에게 감사를 표합니다. 또한 이 취약점에 대한 추가 수정을 해준 nobu에게도 감사를 표합니다.

수정 이력

• 2025-10-07 00:00:00 (UTC) 최초 공개