Ruby3.1
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.02637
Распределение по критичности
Критический
0
Высокий
1
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): ruby3.1
Топ уязвимостей
CVE-2021-33621Cgi gem до версии 0.1.0.2, 0.2.x до версии 0.2.2 и 0.3.x до версии 0.3.5 для Ruby допускает разделение HTTP-ответов. Это относится к приложениям, которые используют ненадежный пользовательский ввод либо для создания HTTP-ответа, либо для создания объекта CGI::Cookie.
CVE-2024-27282В версиях Ruby 3.x до 3.3.0 была обнаружена проблема. Если данные, предоставленные злоумышленником, переданы компилятору регулярных выражений Ruby, возможно извлечение произвольных данных кучи относительно начала текста, включая указатели и конфиденциальные строки. Исправленные версии: 3.0.7, 3.1.5, 3.2.4 и 3.3.1.
CVE-2023-36617Проблема ReDoS была обнаружена в компоненте URI до версии 0.12.2 для Ruby. Парсер URI неправильно обрабатывает недействительные URL-адреса, содержащие определенные символы. Наблюдается увеличение времени выполнения для анализа строк в объекты URI с помощью rfc2396_parser.rb и rfc3986_parser.rb. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-28755. Версия 0.10.3 также является исправленной версией.
CVE-2023-28756Проблема ReDoS была обнаружена в компоненте Time до 0.2.1 в Ruby до 3.2.1. Парсер Time неправильно обрабатывает недопустимые URL-адреса, содержащие определенные символы. Это приводит к увеличению времени выполнения для синтаксического анализа строк в объекты Time. Исправленные версии: 0.1.1 и 0.2.2.
CVE-2023-28755Была обнаружена проблема ReDoS в компоненте URI до версии 0.12.0 в Ruby до 3.2.1. Парсер URI неправильно обрабатывает недействительные URL, содержащие определённые символы. Это приводит к увеличению времени выполнения при разборе строк в объекты URI. Исправленные версии - 0.12.1, 0.11.1, 0.10.2 и 0.10.0.1.
CVE-2024-27281В RDoc версии 6.3.3 до 6.6.2, распространенной в Ruby 3.x до 3.3.0, была обнаружена проблема. При разборе файла .rdoc_options (используемого для конфигурации в RDoc) в качестве файла YAML возможна инъекция объектов и последующее удаленное выполнение кода, поскольку отсутствуют ограничения на классы, которые могут быть восстановлены. (При загрузке кеша документации также возможна инъекция объектов и последующее удаленное выполнение кода, если кеш был подготовлен.) Основная исправленная версия – 6.6.3.1. Для пользователей Ruby 3.0 исправленная версия – rdoc 6.3.4.1. Для пользователей Ruby 3.1 исправленная версия – rdoc 6.4.1.1. Для пользователей Ruby 3.2 исправленная версия – rdoc 6.5.1.1.
CVE-2024-27280В версии StringIO 3.0.1, распространенной в Ruby 3.0.x до 3.0.6 и 3.1.x до 3.1.4, была обнаружена проблема с переполнением буфера. Методы ungetbyte и ungetc в StringIO могут читать за пределами конца строки, а последующий вызов StringIO.gets может вернуть значение памяти. Основная исправленная версия – 3.0.3; однако для пользователей Ruby 3.0 исправленная версия – stringio 3.0.1.1, а для пользователей Ruby 3.1 исправленная версия – stringio 3.0.1.2.