CVE-2025-61594: URI-Anmeldeinformationsleck umgeht frühere Korrekturen

Gepostet von hsbt am 7. Okt 2025

Wir haben eine Sicherheitsberatung für CVE-2025-61594 veröffentlicht.

CVE-2025-61594: URI Credential Leakage Bypass über CVE-2025-27221

In der betroffenen URI-Version gibt es eine Umgehung für den Fix von CVE-2025-27221, die Benutzeranmeldedaten preisgeben kann.

Dieser Schwachstelle wurde die CVE-Kennung CVE-2025-61594 zugewiesen. Wir empfehlen, das uri-Gem zu aktualisieren.

Details

Beim Verwenden des Operators + zum Kombinieren von URIs können sensible Informationen wie Passwörter aus der ursprünglichen URI durchsickern, was RFC3986 verletzt und Anwendungen anfällig für die Offenlegung von Anmeldedaten macht.

Bitte aktualisieren Sie das URI-Gem auf Version 0.12.5, 0.13.3, 1.0.4 oder neuer.

Betroffene Versionen

• uri-Gem-Versionen < 0.12.5, 0.13.0 bis 0.13.2 und 1.0.0 bis 1.0.3.

Credits

Vielen Dank an junfuchong (chongfujun) für die Entdeckung dieses Problems. Vielen Dank auch an nobu für zusätzliche Korrekturen dieser Schwachstelle.

Verlauf

• Ursprünglich veröffentlicht am 2025-10-07 0:00:00 (UTC)