Jruby
Уязвимости
49
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.29442
Распределение по критичности
Критический
0
Высокий
13
Средний
32
Низкий
4
Также сопоставлено как (исходные строки): jruby
Топ уязвимостей
CVE-2021-33621Cgi gem до версии 0.1.0.2, 0.2.x до версии 0.2.2 и 0.3.x до версии 0.3.5 для Ruby допускает разделение HTTP-ответов. Это относится к приложениям, которые используют ненадежный пользовательский ввод либо для создания HTTP-ответа, либо для создания объекта CGI::Cookie.
CVE-2019-16255Ruby версий до 2.4.7, 2.5.x до 2.5.6 и 2.6.x до 2.6.4 допускает внедрение кода, если первый аргумент (aka аргумент «command») в Shell#[] или Shell#test в lib/shell.rb является ненадежными данными. Злоумышленник может использовать это для вызова произвольного метода Ruby.
CVE-2015-4020RubyGems 2.0.x до 2.0.17, 2.2.x до 2.2.5 и 2.4.x до 2.4.8 не проверяет имя хоста при получении gems или выполнении API-запросов, что позволяет удаленным злоумышленникам перенаправлять запросы на произвольные домены через специально созданную DNS SRV-запись с доменом, который имеет суффикс в виде исходного доменного имени, также известное как "атака с перехватом DNS". ПРИМЕЧАНИЕ: эта уязвимость существует из-за неполного исправления CVE-2015-3900.
CVE-2015-3900RubyGems 2.0.x до версии 2.0.16, 2.2.x до версии 2.2.4 и 2.4.x до версии 2.4.7 не проверяет имя хоста при получении gems или выполнении API-запросов, что позволяет удаленным злоумышленникам перенаправлять запросы на произвольные домены через специально созданную DNS SRV-запись, также известную как "DNS hijack attack".
CVE-2018-1000074RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Deserialization of Untrusted Data в команде owner, которая может привести к выполнению кода. Эта атака, по-видимому, может быть использована, если жертва запустит команду `gem owner` в gem со специально созданным YAML-файлом. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.
CVE-2025-27220В CGI gem до 0.4.2 для Ruby существует уязвимость Денаial of Service (ReDoS) в методе Util#escapeElement.
CVE-2025-27219В библиотеке CGI для Ruby до версии 0.4.2 метод CGI::Cookie.parse содержит потенциальную уязвимость для отказа в обслуживании (DoS). Метод не устанавливает никаких ограничений на длину необработанного значения cookie. Эта недоработка может привести к чрезмерному потреблению ресурсов при разборе крайне больших cookie.
CVE-2025-24294Вектор атаки представляет собой потенциальную атаку типа "отказ в обслуживании" (DoS). Уязвимость вызвана недостаточной проверкой длины распакованного доменного имени в пакете DNS.
Злоумышленник может создать вредоносный пакет DNS, содержащий сильно сжатое доменное имя. Когда библиотека resolv обрабатывает такой пакет, процесс распаковки имени потребляет большое количество ресурсов CPU, поскольку библиотека не ограничивает результирующую длину имени.
Это потребление ресурсов может привести к тому, что поток приложения станет неответственным, что приведет к состоянию отказа в обслуживании.
Уязвимость затрагивает gem resolv, входящий в состав следующих версий Ruby: Ruby 3.2 series: resolv версии 0.2.2 и ранее, Ruby 3.3 series: resolv версии 0.3.0, Ruby 3.4 series: resolv версии 0.6.1 и ранее [1].
Рекомендуется обновить gem resolv.
Источники:
- [1] https://www.ruby-lang.org/en/news/2025/07/08/dos-resolv-cve-2025-24294/
CVE-2024-47220В инструментарии WEBrick до версии 1.8.1 для Ruby обнаружена проблема. Он позволяет осуществлять контрабанду HTTP-запросов, предоставляя заголовок Content-Length и заголовок Transfer-Encoding, например, "GET /admin HTTP/1.1\r\n" внутри запроса "POST /user HTTP/1.1\r\n". ПРИМЕЧАНИЕ: позиция поставщика: «Webrick не следует использовать в производстве».
CVE-2019-16201WEBrick::HTTPAuth::DigestAuth в Ruby до версий 2.4.7, 2.5.x до 2.5.6 и 2.6.x до 2.6.4 имеет отказ в обслуживании из-за регулярного выражения, вызванный зацикливанием/возвратом. Жертва должна предоставить сервер WEBrick, использующий DigestAuth, в Интернет или ненадежную сеть.
CVE-2017-0902RubyGems версии 2.6.12 и более ранние уязвимы для перехвата DNS, что позволяет злоумышленнику MITM заставить клиент RubyGems загружать и устанавливать гемы с сервера, который контролирует злоумышленник.
CVE-2019-8320Проблема Directory Traversal была обнаружена в RubyGems 2.7.6 и более поздних версиях до 3.0.2. Перед созданием новых каталогов или касанием файлов (которые теперь включают код проверки пути для символических ссылок) он удалял целевое назначение. Если это назначение было скрыто за символической ссылкой, вредоносный gem мог удалить произвольные файлы на компьютере пользователя, полагая, что злоумышленник может угадать пути. Учитывая, как часто gem запускается с правами sudo и насколько предсказуемы пути в современных системах (/tmp, /usr и т. д.), это, вероятно, может привести к потере данных или непригодной для использования системе.
CVE-2019-8324Проблема была обнаружена в RubyGems 2.6 и более поздних версиях до 3.0.2. Специально созданный gem с многострочным именем обрабатывается некорректно. Поэтому злоумышленник может внедрить произвольный код в строку заглушки gemspec, которая вычисляется кодом в ensure_loadable_spec во время предварительной проверки.
CVE-2024-49761REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.9 имеет уязвимость ReDoS при анализе XML, содержащего много цифр между &# и x...; в шестнадцатеричной числовой ссылке на символ (&#x...). Это не происходит с Ruby 3.2 или более поздней версии. Ruby 3.1 - единственный поддерживаемый Ruby, подверженный этой уязвимости. REXML gem 3.3.9 или более поздней версии включает патч для исправления уязвимости.
CVE-2024-27282В версиях Ruby 3.x до 3.3.0 была обнаружена проблема. Если данные, предоставленные злоумышленником, переданы компилятору регулярных выражений Ruby, возможно извлечение произвольных данных кучи относительно начала текста, включая указатели и конфиденциальные строки. Исправленные версии: 3.0.7, 3.1.5, 3.2.4 и 3.3.1.
CVE-2019-15845Ruby до версий 2.4.7, 2.5.x до 2.5.6 и 2.6.x до 2.6.4 неправильно обрабатывает проверку пути в функциях File.fnmatch.
CVE-2017-0901RubyGems версии 2.6.12 и более ранние не проверяют имена спецификаций, что позволяет вредоносному гему потенциально перезаписать любой файл в файловой системе.
CVE-2018-1000078RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Cross Site Scripting (XSS) в отображении атрибута домашней страницы gem server, которая может привести к XSS. Эта атака, по-видимому, может быть использована, если жертва перейдет к вредоносному gem на уязвимом gem server. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.
CVE-2025-43857Net::IMAP реализует функциональность клиента IMAP в Ruby. До версий 0.5.7, 0.4.20, 0.3.9 и 0.2.5 существует возможность отказа в обслуживании из-за исчерпания памяти при чтении ответов сервера. Злоумышленнический сервер может отправить "литеральный" счетчик байтов, который автоматически считывается потоком получателя клиента, что приводит к немедленному выделению памяти для указанного количества байтов. Это не является проблемой при безопасном подключении к доверенным серверам IMAP, но может затронуть небезопасные подключения и ошибочные, ненадежные или скомпрометированные серверы.
Исправление включает добавление настраиваемого ограничения `max_response_size` в средство чтения ответов Net::IMAP. По умолчанию `max_response_size` равно 512 МБ для Net::IMAP 0.5.7 и `nil` (неограниченно) для более ранних версий. При подключении к ненадежным серверам или использовании небезопасных подключений следует использовать более низкое значение `max_response_size`.
Источники:
- [1] https://github.com/ruby/net-imap/security/advisories/GHSA-j3g3-5qv5-52mj
- [2] https://github.com/ruby/net-imap/pull/442
- [3] https://github.com/ruby/net-imap/pull/444/commits/0ae8576c1a90bcd9573f81bdad4b4b824642d105#diff-53721cb4d9c3fb86b95cc8476ca2df90968ad8c481645220c607034399151462
- [4] https://github.com/ruby/net-imap/pull/445
- [5] https://github.com/ruby/net-imap/pull/446
CVE-2025-6442Ruby WEBrick read_header HTTP Запросить Уязвимость к контрабанде. Эта уязвимость позволяет удаленным злоумышленникам пропускать произвольные HTTP-запросы на затронутых установках Ruby WEBrick. Эта проблема может быть использована, когда продукт развернут за HTTP-прокси, который выполняет определенные условия.
Удельный недостаток существует в методе read_headers. Проблема возникает в результате непоследовательного разбора терминаторов HTTP заголовков. Злоумышленник может использовать эту уязвимость для контрабанды произвольных HTTP-запросов. Это был ZDI-CAN-21876.
CVE-2017-0903RubyGems версий от 2.0.0 до 2.6.13 уязвим для возможной уязвимости удаленного выполнения кода. Десериализация YAML спецификаций гемов может обойти списки разрешенных классов. Специально созданные сериализованные объекты могут быть использованы для повышения привилегий до удаленного выполнения кода.
CVE-2018-1000079RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Directory Traversal при установке gem, которая может привести к тому, что gem может записывать в произвольные места файловой системы во время установки. Эта атака, по-видимому, может быть использована, если жертва установит вредоносный gem. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.
CVE-2018-1000077RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Improper Input Validation в атрибуте домашней страницы спецификации ruby gems, которая может привести к тому, что вредоносный gem может установить недопустимый URL-адрес домашней страницы. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.
CVE-2018-1000076RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Improper Verification of Cryptographic Signature в package.rb, которая может привести к тому, что неправильно подписанный gem может быть установлен, поскольку tarball будет содержать несколько подписей gem. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.
CVE-2018-1000073RubyGems версии Ruby 2.2 series: 2.2.9 и более ранние, Ruby 2.3 series: 2.3.6 и более ранние, Ruby 2.4 series: 2.4.3 и более ранние, Ruby 2.5 series: 2.5.0 и более ранние, до trunk revision 62422 содержит уязвимость Directory Traversal в функции install_location package.rb, которая может привести к обходу пути при записи в базовый каталог на основе символической ссылки за пределами корня. Эта уязвимость, по-видимому, была исправлена в версии 2.7.6.