CVE-2025-61594: обхід попередніх виправлень витоку облікових даних URI

Опублікував hsbt 07-10-2025
Переклав: Andrii Furmanets

Ми опублікували повідомлення з безпеки щодо CVE-2025-61594.

CVE-2025-61594: обхід виправлення CVE-2025-27221 для витоку облікових даних URI

У вразливих версіях URI існує обхід виправлення CVE-2025-27221, який може розкрити облікові дані користувача.

Цій вразливості присвоєно ідентифікатор CVE CVE-2025-61594. Рекомендуємо оновити gem uri.

Деталі

Під час використання оператора + для об’єднання URI чутлива інформація, як-от паролі з початкового URI, може витікати. Це порушує RFC3986 і робить застосунки вразливими до розкриття облікових даних.

Будь ласка, оновіть gem URI до версії 0.12.5, 0.13.3, 1.0.4 або новішої.

Уражені версії

• версії gem uri < 0.12.5, 0.13.0-0.13.2 та 1.0.0-1.0.3.

Подяки

Дякуємо junfuchong (chongfujun) за виявлення цієї проблеми. Також дякуємо nobu за додаткові виправлення цієї вразливості.

Історія

• Початково опубліковано 2025-10-07 0:00:00 (UTC)