CVE-2025-61594: обход предыдущих исправлений утечки учетных данных в URI

Опубликовал hsbt 07-10-2025
Перевел: ablzh

Мы опубликовали предупреждение по безопасности для CVE-2025-61594.

CVE-2025-61594: обход исправления CVE-2025-27221, приводящий к утечке учетных данных в URI

В затронутых версиях библиотеки URI существует способ обойти исправление для CVE-2025-27221, что может привести к раскрытию пользовательских данных.

Этой уязвимости присвоен CVE идентификатор CVE-2025-61594. Мы рекомендуем обновить гем uri.

Подробности

При использовании оператора + для объединения URI конфиденциальная информация, такая как пароли из исходного URI, может утечь, что нарушает RFC3986 и делает приложения уязвимыми к раскрытию учетных данных.

Пожалуйста, обновите гем uri до версии 0.12.5, 0.13.3, 1.0.4 или новее.

Затронутые версии

• версии гема uri < 0.12.5, 0.13.0 to 0.13.2 and 1.0.0 to 1.0.3.

Благодарности

Благодарим junfuchong (chongfujun) за обнаружение проблемы. Также спасибо nobu за дополнительные исправления этой уязвимости.

История

• Впервые опубликовано: 2025-10-07 00:00:00 (UTC)