Ruby3.0
Уязвимости
25
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.04766
Распределение по критичности
Критический
0
Высокий
9
Средний
13
Низкий
3
Также сопоставлено как (исходные строки): ruby3.0
Топ уязвимостей
CVE-2021-33621Cgi gem до версии 0.1.0.2, 0.2.x до версии 0.2.2 и 0.3.x до версии 0.3.5 для Ruby допускает разделение HTTP-ответов. Это относится к приложениям, которые используют ненадежный пользовательский ввод либо для создания HTTP-ответа, либо для создания объекта CGI::Cookie.
CVE-2022-28738Двойное освобождение было обнаружено в компиляторе Regexp в Ruby 3.x до 3.0.4 и 3.1.x до 3.1.2. Если жертва пытается создать Regexp из ненадежного пользовательского ввода, злоумышленник может записать данные в неожиданные места в памяти.
CVE-2025-27220В CGI gem до 0.4.2 для Ruby существует уязвимость Денаial of Service (ReDoS) в методе Util#escapeElement.
CVE-2025-27219В библиотеке CGI для Ruby до версии 0.4.2 метод CGI::Cookie.parse содержит потенциальную уязвимость для отказа в обслуживании (DoS). Метод не устанавливает никаких ограничений на длину необработанного значения cookie. Эта недоработка может привести к чрезмерному потреблению ресурсов при разборе крайне больших cookie.
CVE-2025-24294Вектор атаки представляет собой потенциальную атаку типа "отказ в обслуживании" (DoS). Уязвимость вызвана недостаточной проверкой длины распакованного доменного имени в пакете DNS.
Злоумышленник может создать вредоносный пакет DNS, содержащий сильно сжатое доменное имя. Когда библиотека resolv обрабатывает такой пакет, процесс распаковки имени потребляет большое количество ресурсов CPU, поскольку библиотека не ограничивает результирующую длину имени.
Это потребление ресурсов может привести к тому, что поток приложения станет неответственным, что приведет к состоянию отказа в обслуживании.
Уязвимость затрагивает gem resolv, входящий в состав следующих версий Ruby: Ruby 3.2 series: resolv версии 0.2.2 и ранее, Ruby 3.3 series: resolv версии 0.3.0, Ruby 3.4 series: resolv версии 0.6.1 и ранее [1].
Рекомендуется обновить gem resolv.
Источники:
- [1] https://www.ruby-lang.org/en/news/2025/07/08/dos-resolv-cve-2025-24294/
CVE-2021-41819CGI::Cookie.parse в Ruby до версии 2.6.8 неправильно обрабатывает префиксы безопасности в именах файлов cookie. Это также влияет на CGI gem до версии 0.3.0 для Ruby.
CVE-2021-41817Date.parse в date gem до версии 3.2.0 для Ruby допускает ReDoS (регулярное выражение Denial of Service) через длинную строку. Исправленные версии: 3.2.1, 3.1.2, 3.0.2 и 2.0.1.
CVE-2021-41816CGI.escape_html в Ruby до версий 2.7.5 и 3.x до 3.0.3 имеет переполнение целого числа и результирующее переполнение буфера через длинную строку на платформах (таких как Windows), где size_t и long имеют разное количество байтов. Это также влияет на CGI gem до версии 0.3.1 для Ruby.
CVE-2025-0306В Ruby обнаружена уязвимость. Интерпретатор Ruby уязвим для атаки Марвина. Эта атака позволяет злоумышленнику расшифровывать ранее зашифрованные сообщения или подделывать подписи, обмениваясь большим количеством сообщений с уязвимой службой.
CVE-2024-49761REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.9 имеет уязвимость ReDoS при анализе XML, содержащего много цифр между &# и x...; в шестнадцатеричной числовой ссылке на символ (&#x...). Это не происходит с Ruby 3.2 или более поздней версии. Ruby 3.1 - единственный поддерживаемый Ruby, подверженный этой уязвимости. REXML gem 3.3.9 или более поздней версии включает патч для исправления уязвимости.
CVE-2024-27282В версиях Ruby 3.x до 3.3.0 была обнаружена проблема. Если данные, предоставленные злоумышленником, переданы компилятору регулярных выражений Ruby, возможно извлечение произвольных данных кучи относительно начала текста, включая указатели и конфиденциальные строки. Исправленные версии: 3.0.7, 3.1.5, 3.2.4 и 3.3.1.
CVE-2025-25186Net::IMAP реализует функциональность клиента Интернет-протокола доступа к сообщениям (IMAP) на Ruby. Начиная с версии 0.3.2 и до версий 0.3.8, 0.4.19 и 0.5.6, существует возможность DoS через исчерпание памяти в парсере ответов `net-imap`. В любое время, пока клиент подключен, злонамеренный сервер может отправить сильно сжатые данные `uid-set`, которые автоматически читаются потоком получателя клиента. Парсер ответов использует `Range#to_a`, чтобы преобразовать данные `uid-set` в массивы целых чисел, без ограничений на расширенный размер диапазонов. Версии 0.3.8, 0.4.19, 0.5.6 и более поздние исправляют эту проблему. Дополнительные детали для правильной настройки исправленных версий и обратной совместимости доступны в Советах по безопасности GitHub.
CVE-2022-28739В Ruby до 2.6.10, 2.7.x до 2.7.6, 3.x до 3.0.4 и 3.1.x до 3.1.2 имеется переполнение буфера. Это происходит при преобразовании строки в число с плавающей точкой, включая Kernel#Float и String#to_f.
CVE-2024-43398REXML — это XML-инструментарий для Ruby. REXML gem до версии 3.3.6 имеет уязвимость DoS, когда он анализирует XML, содержащий много глубоких элементов с одинаковыми атрибутами локального имени. Если вам нужно анализировать ненадежные XML с API древовидного парсера, таким как REXML::Document.new, вы можете подвергнуться этой уязвимости. Если вы используете другие API парсера, такие как API потокового парсера и API парсера SAX2, эта уязвимость не затрагивается. REXML gem 3.3.6 или более поздней версии содержит патч для исправления уязвимости.
CVE-2025-27221В библиотеке URI до 1.0.3 для Ruby методы обработки URI (URI.join, URI#merge, URI#+) имеют непреднамеренную утечку учетных данных аутентификации, так как пользовательская информация сохраняется даже после изменения хоста.
CVE-2024-41123REXML — это набор инструментов XML для Ruby. REXML gem до версии 3.3.2 имеет некоторые уязвимости DoS, когда он анализирует XML, содержащий множество специальных символов, таких как пробел, `>]` и `]>`. REXML gem 3.3.3 или более поздней версии включает исправления для устранения этих уязвимостей.
CVE-2024-35176REXML — это набор инструментов XML для Ruby. REXML gem до версии 3.2.6 имеет уязвимость отказа в обслуживании при анализе XML, содержащего много символов `\u003c` в значении атрибута. Этой уязвимости могут быть подвержены те, кому необходимо анализировать ненадежные XML. REXML gem 3.2.7 или более поздней версии включает исправление для устранения этой уязвимости. В качестве обходного пути не анализируйте ненадежные XML.
CVE-2023-36617Проблема ReDoS была обнаружена в компоненте URI до версии 0.12.2 для Ruby. Парсер URI неправильно обрабатывает недействительные URL-адреса, содержащие определенные символы. Наблюдается увеличение времени выполнения для анализа строк в объекты URI с помощью rfc2396_parser.rb и rfc3986_parser.rb. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-28755. Версия 0.10.3 также является исправленной версией.
CVE-2023-28756Проблема ReDoS была обнаружена в компоненте Time до 0.2.1 в Ruby до 3.2.1. Парсер Time неправильно обрабатывает недопустимые URL-адреса, содержащие определенные символы. Это приводит к увеличению времени выполнения для синтаксического анализа строк в объекты Time. Исправленные версии: 0.1.1 и 0.2.2.
CVE-2023-28755Была обнаружена проблема ReDoS в компоненте URI до версии 0.12.0 в Ruby до 3.2.1. Парсер URI неправильно обрабатывает недействительные URL, содержащие определённые символы. Это приводит к увеличению времени выполнения при разборе строк в объекты URI. Исправленные версии - 0.12.1, 0.11.1, 0.10.2 и 0.10.0.1.
CVE-2024-27281В RDoc версии 6.3.3 до 6.6.2, распространенной в Ruby 3.x до 3.3.0, была обнаружена проблема. При разборе файла .rdoc_options (используемого для конфигурации в RDoc) в качестве файла YAML возможна инъекция объектов и последующее удаленное выполнение кода, поскольку отсутствуют ограничения на классы, которые могут быть восстановлены. (При загрузке кеша документации также возможна инъекция объектов и последующее удаленное выполнение кода, если кеш был подготовлен.) Основная исправленная версия – 6.6.3.1. Для пользователей Ruby 3.0 исправленная версия – rdoc 6.3.4.1. Для пользователей Ruby 3.1 исправленная версия – rdoc 6.4.1.1. Для пользователей Ruby 3.2 исправленная версия – rdoc 6.5.1.1.
CVE-2024-39908REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.1 имеет несколько уязвимостей DoS при разборе XML, который содержит много определенных символов, таких как `<`, `0` и `%>`. Если вам нужно разбирать ненадежные XML, вы можете пострадать от этих уязвимостей. REXML gem 3.3.2 или более поздней версии включает исправления для устранения этих уязвимостей. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, должны избегать разбора ненадежных XML-строк.
CVE-2024-41946REXML — это набор инструментов XML для Ruby. REXML gem 3.3.2 имеет уязвимость DoS, когда он анализирует XML, который имеет множество расширений сущностей с SAX2 или API pull-парсера. REXML gem 3.3.3 или более поздние версии включают патч для исправления этой уязвимости.
CVE-2024-27280В версии StringIO 3.0.1, распространенной в Ruby 3.0.x до 3.0.6 и 3.1.x до 3.1.4, была обнаружена проблема с переполнением буфера. Методы ungetbyte и ungetc в StringIO могут читать за пределами конца строки, а последующий вызов StringIO.gets может вернуть значение памяти. Основная исправленная версия – 3.0.3; однако для пользователей Ruby 3.0 исправленная версия – stringio 3.0.1.1, а для пользователей Ruby 3.1 исправленная версия – stringio 3.0.1.2.
CVE-2025-58767В REXML, XML-инструментарии для Ruby, обнаружена уязвимость DoS при разборе XML-файлов, содержащих несколько XML-объявлений. Проблема затрагивает версии REXML с 3.3.3 по 3.4.1. Для исправления необходимо обновить REXML до версии 3.4.2 или выше. В качестве обходного пути рекомендуется не разбирать недоверенные XML-файлы [1][2].
Источники:
- [1] https://github.com/ruby/rexml/security/advisories/GHSA-c2f4-jgmc-q2r5
- [2] https://github.com/ruby/rexml/commit/5859bdeac792687eaf93d8e8f0b7e3c1e2ed5c23