Ruby2.5
Уязвимости
17
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.05061
Распределение по критичности
Критический
0
Высокий
6
Средний
9
Низкий
2
Также сопоставлено как (исходные строки): ruby2.5
Топ уязвимостей
CVE-2021-33621Cgi gem до версии 0.1.0.2, 0.2.x до версии 0.2.2 и 0.3.x до версии 0.3.5 для Ruby допускает разделение HTTP-ответов. Это относится к приложениям, которые используют ненадежный пользовательский ввод либо для создания HTTP-ответа, либо для создания объекта CGI::Cookie.
CVE-2021-41819CGI::Cookie.parse в Ruby до версии 2.6.8 неправильно обрабатывает префиксы безопасности в именах файлов cookie. Это также влияет на CGI gem до версии 0.3.0 для Ruby.
CVE-2021-41817Date.parse в date gem до версии 3.2.0 для Ruby допускает ReDoS (регулярное выражение Denial of Service) через длинную строку. Исправленные версии: 3.2.1, 3.1.2, 3.0.2 и 2.0.1.
CVE-2021-28965REXML gem до версии 3.2.5 в Ruby до версий 2.6.7, от 2.7.x до 2.7.3 и 3.x до 3.0.1 неправильно решает проблемы XML round-trip. Неправильный документ может быть создан после разбора и сериализации.
CVE-2021-32066Обнаружена проблема в Ruby до версии 2.6.7, 2.7.x до версии 2.7.3 и 3.x до версии 3.0.1. Net::IMAP не вызывает исключение, когда StartTLS завершается неудачно с неизвестным ответом, что может позволить злоумышленникам, находящимся посередине, обойти защиты TLS, используя сетевую позицию между клиентом и реестром для блокировки команды StartTLS, также известную как "атака с удалением StartTLS".
CVE-2021-31799В RDoc 3.11 до 6.x до 6.3.1, распространяемом с Ruby до 3.0.1, можно выполнить произвольный код через | и теги в имени файла.
CVE-2024-27282В версиях Ruby 3.x до 3.3.0 была обнаружена проблема. Если данные, предоставленные злоумышленником, переданы компилятору регулярных выражений Ruby, возможно извлечение произвольных данных кучи относительно начала текста, включая указатели и конфиденциальные строки. Исправленные версии: 3.0.7, 3.1.5, 3.2.4 и 3.3.1.
CVE-2022-28739В Ruby до 2.6.10, 2.7.x до 2.7.6, 3.x до 3.0.4 и 3.1.x до 3.1.2 имеется переполнение буфера. Это происходит при преобразовании строки в число с плавающей точкой, включая Kernel#Float и String#to_f.
CVE-2021-31810Проблема обнаружена в Ruby до версий 2.6.7, 2.7.x до 2.7.3 и 3.x до 3.0.1. Вредоносный FTP-сервер может использовать ответ PASV, чтобы обманом заставить Net::FTP подключиться обратно к заданному IP-адресу и порту. Это потенциально позволяет curl извлекать информацию о службах, которые в противном случае являются частными и не раскрываются (например, злоумышленник может проводить сканирование портов и извлечение баннеров служб).
CVE-2024-35176REXML — это набор инструментов XML для Ruby. REXML gem до версии 3.2.6 имеет уязвимость отказа в обслуживании при анализе XML, содержащего много символов `\u003c` в значении атрибута. Этой уязвимости могут быть подвержены те, кому необходимо анализировать ненадежные XML. REXML gem 3.2.7 или более поздней версии включает исправление для устранения этой уязвимости. В качестве обходного пути не анализируйте ненадежные XML.
CVE-2023-36617Проблема ReDoS была обнаружена в компоненте URI до версии 0.12.2 для Ruby. Парсер URI неправильно обрабатывает недействительные URL-адреса, содержащие определенные символы. Наблюдается увеличение времени выполнения для анализа строк в объекты URI с помощью rfc2396_parser.rb и rfc3986_parser.rb. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-28755. Версия 0.10.3 также является исправленной версией.
CVE-2023-28756Проблема ReDoS была обнаружена в компоненте Time до 0.2.1 в Ruby до 3.2.1. Парсер Time неправильно обрабатывает недопустимые URL-адреса, содержащие определенные символы. Это приводит к увеличению времени выполнения для синтаксического анализа строк в объекты Time. Исправленные версии: 0.1.1 и 0.2.2.
CVE-2023-28755Была обнаружена проблема ReDoS в компоненте URI до версии 0.12.0 в Ruby до 3.2.1. Парсер URI неправильно обрабатывает недействительные URL, содержащие определённые символы. Это приводит к увеличению времени выполнения при разборе строк в объекты URI. Исправленные версии - 0.12.1, 0.11.1, 0.10.2 и 0.10.0.1.
CVE-2024-27281В RDoc версии 6.3.3 до 6.6.2, распространенной в Ruby 3.x до 3.3.0, была обнаружена проблема. При разборе файла .rdoc_options (используемого для конфигурации в RDoc) в качестве файла YAML возможна инъекция объектов и последующее удаленное выполнение кода, поскольку отсутствуют ограничения на классы, которые могут быть восстановлены. (При загрузке кеша документации также возможна инъекция объектов и последующее удаленное выполнение кода, если кеш был подготовлен.) Основная исправленная версия – 6.6.3.1. Для пользователей Ruby 3.0 исправленная версия – rdoc 6.3.4.1. Для пользователей Ruby 3.1 исправленная версия – rdoc 6.4.1.1. Для пользователей Ruby 3.2 исправленная версия – rdoc 6.5.1.1.
CVE-2024-39908REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.1 имеет несколько уязвимостей DoS при разборе XML, который содержит много определенных символов, таких как `<`, `0` и `%>`. Если вам нужно разбирать ненадежные XML, вы можете пострадать от этих уязвимостей. REXML gem 3.3.2 или более поздней версии включает исправления для устранения этих уязвимостей. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, должны избегать разбора ненадежных XML-строк.
CVE-2024-27280В версии StringIO 3.0.1, распространенной в Ruby 3.0.x до 3.0.6 и 3.1.x до 3.1.4, была обнаружена проблема с переполнением буфера. Методы ungetbyte и ungetc в StringIO могут читать за пределами конца строки, а последующий вызов StringIO.gets может вернуть значение памяти. Основная исправленная версия – 3.0.3; однако для пользователей Ruby 3.0 исправленная версия – stringio 3.0.1.1, а для пользователей Ruby 3.1 исправленная версия – stringio 3.0.1.2.
CVE-2025-61594URI - это модуль, предоставляющий классы для обработки унифицированных идентификаторов ресурсов. В версиях 0.12.4 и ранее (в комплекте в серии Ruby 3.2) 0,13.2 и ранее (в комплектациях серии Ruby 3.3), 1.0.3 и ранее (в комплектациях серии Ruby 3.4), при использовании + оператора для объединения URI, может быть просочиться конфиденциальная информация, такая как пароли из оригинального URI, нарушая RFC3986 и делая приложения уязвимыми для воздействия учетных данных. Это обход для исправления CVE-2025-27221, который может раскрыть учетные данные пользователя. Эта проблема была исправлена в версиях 0.12.5, 0.13.3 и 1.0.4.