由 hsbt 发表于 2025-10-07

我们发布了关于 CVE-2025-61594 的安全建议。

CVE-2025-61594: 绕过此前补丁的 URI 敏感信息泄漏

在受影响的 URI gem 版本中，对于此前 CVE-2025-27221 的修复，存在可以绕过该修复并泄漏敏感信息的漏洞。

此漏洞的 CVE 编号为 CVE-2025-61594。 我们建议您更新 uri gem。

详情

当使用 + 操作符拼接 URI 时，原始 URI 中的密码等敏感信息可能会被泄漏，这违反了 RFC3986 规范，并可能导致应用受到敏感信息泄漏的威胁。

请更新 uri gem 到 0.12.5, 0.13.3, 1.0.4 或更高版本。

受影响版本

• uri gem 版本 低于 0.12.5, 0.13.0 至 0.13.2 以及 1.0.0 至 1.0.3。

致谢

感谢 junfuchong (chongfujun) 发现此问题。同时感谢 nobu 提供了此漏洞的补丁。

历史

• 最初发布于 at 2025-10-07 0:00:00 (UTC)

订阅

最新消息（RSS）