Sicherheitswarnungen: CVE-2025-27219, CVE-2025-27220 und CVE-2025-27221

Gepostet von hsbt am 26. Februar 2025

Wir haben Sicherheitswarnungen für CVE-2025-27219, CVE-2025-27220 und CVE-2025-27221 veröffentlicht. Bitte lesen Sie die Details unten.

CVE-2025-27219: Denial of Service in CGI::Cookie.parse.

Es besteht die Möglichkeit von DoS in der cgi-Gem. Diese Schwachstelle wurde mit der CVE-Kennung CVE-2025-27219 ausgezeichnet. Wir empfehlen ein Upgrade der cgi-Gem.

Details

CGI::Cookie.parse benötigte in einigen Fällen überlineare Zeit zum Parsen eines Cookie-Strings. Das Übergeben eines böswillig gestalteten Cookie-Strings an die Methode konnte zu einem Denial of Service führen.

Bitte aktualisieren Sie die CGI-Gem auf Version 0.3.5.1, 0.3.7, 0.4.2 oder neuer.

Betroffene Versionen

• cgi Gem-Versionen <= 0.3.5, 0.3.6, 0.4.0 und 0.4.1.

Credits

Vielen Dank an lio346 für die Entdeckung dieses Problems. Vielen Dank auch an mame für die Behebung dieser Schwachstelle.

CVE-2025-27220: ReDoS in CGI::Util#escapeElement.

Es besteht die Möglichkeit eines regulären Ausdrucks Denial of Service (ReDoS) in der cgi-Gem. Diese Schwachstelle wurde mit der CVE-Kennung CVE-2025-27220 ausgezeichnet. Wir empfehlen ein Upgrade der cgi-Gem.

Details

Der reguläre Ausdruck, der in CGI::Util#escapeElement verwendet wird, ist anfällig für ReDoS. Die manipulierte Eingabe konnte zu einer hohen CPU-Auslastung führen.

Diese Schwachstelle betrifft nur Ruby 3.1 und 3.2. Wenn Sie diese Versionen verwenden, aktualisieren Sie bitte die CGI-Gem auf Version 0.3.5.1, 0.3.7, 0.4.2 oder neuer.

Betroffene Versionen

• cgi Gem-Versionen <= 0.3.5, 0.3.6, 0.4.0 und 0.4.1.

Credits

Vielen Dank an svalkanov für die Entdeckung dieses Problems. Vielen Dank auch an nobu für die Behebung dieser Schwachstelle.

CVE-2025-27221: Benutzerinformationen-Leck in URI#join, URI#merge und URI#+.

Es besteht die Möglichkeit eines Benutzerinformationen-Leaks in der uri-Gem. Diese Schwachstelle wurde mit der CVE-Kennung CVE-2025-27221 ausgezeichnet. Wir empfehlen ein Upgrade der uri-Gem.

Details

Die Methoden URI#join, URI#merge und URI#+ behielten Benutzerinformationen, wie z. B. user:password, auch nach dem Ersetzen des Hosts bei. Beim Generieren einer URL zu einem bösartigen Host aus einer URL mit geheimen Benutzerinformationen mit diesen Methoden und wenn jemand auf diese URL zugreift, konnte es zu einem unbeabsichtigten Benutzerinformationen-Leak kommen.

Bitte aktualisieren Sie die URI-Gem auf Version 0.11.3, 0.12.4, 0.13.2, 1.0.3 oder neuer.

Betroffene Versionen

• uri Gem-Versionen < 0.11.3, 0.12.0 bis 0.12.3, 0.13.0, 0.13.1 und 1.0.0 bis 1.0.2.

Credits

Vielen Dank an Tsubasa Irisawa (lambdasawa) für die Entdeckung dieses Problems. Vielen Dank auch an nobu für zusätzliche Korrekturen dieser Schwachstelle.

Verlauf

• Ursprünglich veröffentlicht am 26.02.2025 07:00:00 (UTC)