CVE-2025-61594: 이전 수정을 우회한 URI 자격 증명 유출
작성자: hsbt (2025-10-07)
번역자: shia
CVE-2025-61594에 대한 보안 권고문을 발표했습니다.
CVE-2025-61594: CVE-2025-27221을 우회한 URI 자격 증명 유출
영향을 받는 URI 버전에서 CVE-2025-27221 수정 사항을 우회하여 사용자 인증 정보를 노출시킬 수 있는 취약점이 존재합니다.
이 취약점은 CVE 번호 CVE-2025-61594로 등록되었습니다. uri gem 업그레이드를 추천합니다.
세부 내용
+ 연산자를 사용하여 URI를 결합할 때, 원본 URI의 패스워드와 같은 민감한 정보가 유출될 수 있습니다. 이는 RFC3986을 위반하며 애플리케이션이 자격 증명 정보를 노출하게 합니다.
URI gem을 버전 0.12.5, 0.13.3, 1.0.4 이상으로 업데이트해주세요.
해당 버전
- uri gem 버전 0.12.5 미만, 0.13.0부터 0.13.2, 1.0.0부터 1.0.3까지.
도움을 준 사람
이 문제를 발견해 준 junfuchong (chongfujun)에게 감사를 표합니다. 또한 이 취약점에 대한 추가 수정을 해준 nobu에게도 감사를 표합니다.
수정 이력
- 2025-10-07 00:00:00 (UTC) 최초 공개
최근 소식
Ruby 4.0.4 릴리스
Ruby 4.0.4가 릴리스되었습니다.
작성자: k0kubun (2026-05-11)
Ruby 4.0.3 릴리스
Ruby 4.0.3이 릴리스되었습니다.
작성자: k0kubun (2026-04-21)
Ruby 3.2.11 릴리스
Ruby 3.2.11이 릴리스되었습니다. 이번 릴리스에는 CVE-2026-27820을 해결하는 zlib gem의 업데이트가 포함되어 있습니다.
작성자: hsbt (2026-03-27)
Ruby 3.3.11 릴리스
Ruby 3.3.11이 릴리스되었습니다. 이번 릴리스에는 CVE-2026-27820을 해결하는 zlib gem의 업데이트와 일부 버그 수정이 포함되어 있습니다.
작성자: hsbt (2026-03-26)