|
| 1 | +--- |
| 2 | +layout: news_post |
| 3 | +title: "Avisos de segurança: CVE-2025-27219, CVE-2025-27220 e CVE-2025-27221" |
| 4 | +author: "hsbt" |
| 5 | +translator: nbluis |
| 6 | +date: 2025-02-26 07:00:00 +0000 |
| 7 | +tags: security |
| 8 | +lang: pt |
| 9 | +--- |
| 10 | + |
| 11 | +Publicamos avisos de segurança para CVE-2025-27219, CVE-2025-27220 e CVE-2025-27221. Por favor, leia os detalhes abaixo. |
| 12 | + |
| 13 | +## CVE-2025-27219: Negação de Serviço em `CGI::Cookie.parse`. |
| 14 | + |
| 15 | +Há uma possibilidade de DoS na gem cgi. Esta vulnerabilidade foi identificada com o CVE [CVE-2025-27219](https://www.cve.org/CVERecord?id=CVE-2025-27219). Recomendamos atualizar a gem cgi. |
| 16 | + |
| 17 | +### Detalhes |
| 18 | + |
| 19 | +`CGI::Cookie.parse` levava tempo super-linear para analisar uma string de cookie em alguns casos. Alimentar uma string de cookie maliciosamente criada no método poderia levar a uma Negação de Serviço. |
| 20 | + |
| 21 | +Por favor, atualize a gem CGI para a versão 0.3.5.1, 0.3.7, 0.4.2 ou posterior. |
| 22 | + |
| 23 | +### Versões afetadas |
| 24 | + |
| 25 | +* Versões da gem cgi <= 0.3.5, 0.3.6, 0.4.0 e 0.4.1. |
| 26 | + |
| 27 | +### Créditos |
| 28 | + |
| 29 | +Obrigado a [lio346](https://hackerone.com/lio346) por descobrir este problema. Também agradecemos a [mame](https://github.com/mame) por corrigir esta vulnerabilidade. |
| 30 | + |
| 31 | +## CVE-2025-27220: ReDoS em `CGI::Util#escapeElement`. |
| 32 | + |
| 33 | +Há uma possibilidade de Negação de Serviço por expressão regular (ReDoS) na gem cgi. Esta vulnerabilidade foi identificada com o CVE [CVE-2025-27220](https://www.cve.org/CVERecord?id=CVE-2025-27220). Recomendamos atualizar a gem cgi. |
| 34 | + |
| 35 | +### Detalhes |
| 36 | + |
| 37 | +A expressão regular usada em `CGI::Util#escapeElement` é vulnerável a ReDoS. A entrada criada poderia levar a um alto consumo de CPU. |
| 38 | + |
| 39 | +Esta vulnerabilidade afeta apenas Ruby 3.1 e 3.2. Se você estiver usando essas versões, por favor, atualize a gem CGI para a versão 0.3.5.1, 0.3.7, 0.4.2 ou posterior. |
| 40 | + |
| 41 | +### Versões afetadas |
| 42 | + |
| 43 | +* Versões da gem cgi <= 0.3.5, 0.3.6, 0.4.0 e 0.4.1. |
| 44 | + |
| 45 | +### Créditos |
| 46 | + |
| 47 | +Obrigado a [svalkanov](https://hackerone.com/svalkanov) por descobrir este problema. Também agradecemos a [nobu](https://github.com/nobu) por corrigir esta vulnerabilidade. |
| 48 | + |
| 49 | +## CVE-2025-27221: vazamento de informações de usuário em `URI#join`, `URI#merge` e `URI#+`. |
| 50 | + |
| 51 | +Há uma possibilidade de vazamento de informações de usuário na gem uri. Esta vulnerabilidade foi identificada com o CVE [CVE-2025-27221](https://www.cve.org/CVERecord?id=CVE-2025-27221). Recomendamos atualizar a gem uri. |
| 52 | + |
| 53 | +### Detalhes |
| 54 | + |
| 55 | +Os métodos `URI#join`, `URI#merge` e `URI#+` mantinham informações de usuário, como `user:password`, mesmo após o host ser substituído. Ao gerar uma URL para um host malicioso a partir de uma URL contendo informações de usuário secretas usando esses métodos, e fazer alguém acessar essa URL, poderia ocorrer um vazamento não intencional de informações de usuário. |
| 56 | + |
| 57 | +Por favor, atualize a gem URI para a versão 0.11.3, 0.12.4, 0.13.2, 1.0.3 ou posterior. |
| 58 | + |
| 59 | +### Versões afetadas |
| 60 | + |
| 61 | +* Versões da gem uri < 0.11.3, 0.12.0 a 0.12.3, 0.13.0, 0.13.1 e 1.0.0 a 1.0.2. |
| 62 | + |
| 63 | +### Créditos |
| 64 | + |
| 65 | +Obrigado a [Tsubasa Irisawa (lambdasawa)](https://hackerone.com/lambdasawa) por descobrir este problema. Também agradecemos a [nobu](https://github.com/nobu) por correções adicionais desta vulnerabilidade. |
| 66 | + |
| 67 | +## Histórico |
| 68 | + |
| 69 | +* Publicado originalmente em 2025-02-26 7:00:00 (UTC) |
0 commit comments