|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "安全建议: CVE-2025-27219,CVE-2025-27220 和 CVE-2025-27221" |
| 4 | +author: "hsbt" |
| 5 | +translator: "GAO Jun" |
| 6 | +date: 2025-02-26 07:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: zh_cn |
| 9 | +--- |
| 10 | + |
| 11 | +针对 CVE-2025-27219,CVE-2025-27220 和 CVE-2025-27221,我们发布下列安全建议。 |
| 12 | + |
| 13 | +## CVE-2025-27219: `CGI::Cookie.parse` 中的拒绝服务(Denial of Service,DoS)。 |
| 14 | + |
| 15 | +`cgi` gem 中存在 DoS 可能。此漏洞的 CVE 编号为 [CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219)。我们建议您更新 `cgi` gem。 |
| 16 | + |
| 17 | +### 详情 |
| 18 | + |
| 19 | +在某些情况下,`CGI::Cookie.parse` 解析 cookie 字符串的时间超过线性增长。向该方法传入恶意构造的 cookie 字符串可能会导致拒绝服务(DoS)。 |
| 20 | + |
| 21 | +请更新 `cgi` gem 至 0.3.5.1,0.3.7,0.4.2 或更新版本。 |
| 22 | + |
| 23 | +### 受影响版本 |
| 24 | + |
| 25 | +* `cgi` gem 版本 <= 0.3.5,0.3.6,0.4.0 和 0.4.1。 |
| 26 | + |
| 27 | +### 致谢 |
| 28 | + |
| 29 | +感谢 [lio346](https://hackerone.com/lio346) 发现此漏洞。同样感谢 [mame](https://github.com/mame) 修补此漏洞。 |
| 30 | + |
| 31 | +## CVE-2025-27220: `CGI::Util#escapeElement` 中的正则表达式拒绝服务(Regular Expression Denail of Service, ReDoS)漏洞。 |
| 32 | + |
| 33 | +`cgi` gem 中存在 ReDoS 可能。此漏洞的 CVE 编号为 [CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220)。我们建议您更新 `cgi` gem。 |
| 34 | + |
| 35 | +### 详情 |
| 36 | + |
| 37 | +`CGI::Util#escapeElement` 中使用的正则表达式可能受到 ReDoS 攻击。特定的输入可能会导致 CPU 高负载。 |
| 38 | + |
| 39 | +此漏洞仅影响 Ruby 3.1 和 3.2。如果您正在使用这些版本,请更新 `cgi` gem 至 0.3.5.1,0.3.7,0.4.2 或更新版本。 |
| 40 | + |
| 41 | +### 受影响版本 |
| 42 | + |
| 43 | +* `cgi` gem 版本 <= 0.3.5,0.3.6,0.4.0 和 0.4.1。 |
| 44 | + |
| 45 | +### 致谢 |
| 46 | + |
| 47 | +感谢 [svalkanov](https://hackerone.com/svalkanov) 发现此漏洞。同样感谢 [nobu](https://github.com/nobu) 修补此漏洞。 |
| 48 | + |
| 49 | + |
| 50 | +## CVE-2025-27221: `URI#join`, `URI#merge` 和 `URI#+` 中的用户信息泄漏。 |
| 51 | + |
| 52 | +`uri` gem 可能会泄漏用户信息。此漏洞的 CVE 编号为 [CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221)。我们建议您更新 `uri` gem。 |
| 53 | + |
| 54 | +### 详情 |
| 55 | + |
| 56 | +`URI#join`,`URI#merge` 和 `URI#+` 方法会保留用户信息,如 `user:password`。即使替换了主机也会保留。 |
| 57 | +当基于用户隐私信息,使用了这些方法生成了一个指向恶意主机的 URL 后,如果有人访问了该 URL,可能会发生用户信息泄漏。 |
| 58 | + |
| 59 | +请更新 `uri` gem 至 0.11.3,0.12.4,0.13.2,1.0.3 或更新版本。 |
| 60 | + |
| 61 | +### 受影响版本 |
| 62 | + |
| 63 | +* `uri` gem 版本 < 0.11.3,0.12.0 至 0.12.3,0.13.0,0.13.1,1.0.0 至 1.0.2。 |
| 64 | + |
| 65 | +### 致谢 |
| 66 | + |
| 67 | +感谢 [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa) 发现此漏洞。同样感谢 [nobu](https://github.com/nobu) 修补此漏洞。 |
| 68 | + |
| 69 | +## 历史 |
| 70 | + |
| 71 | +* 最初发布于 2025-02-26 7:00:00 (UTC) |
0 commit comments