ruby · riseshia · Oct 13, 2025 · Oct 8, 2025 · Oct 8, 2025 · Oct 13, 2025
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "이전 변경을 우회한 URI 자격 증명 유출: CVE-2025-61594"
+author: "hsbt"
+translator: "shia"
+date: 2025-10-07 00:00:00 +0000
+tags: security
+lang: ko
+---
+
+CVE-2025-61594에 대한 보안 권고문을 발표했습니다.
+
+## CVE-2025-61594: CVE-2025-27221을 우회한 URI 자격 증명 유출
+
+영향을 받는 URI 버전에서 CVE-2025-27221 수정 사항을 우회하여 사용자 인증 정보를 노출시킬 수 있는 취약점이 존재합니다.
+
+이 취약점은 CVE 번호 [CVE-2025-61594](https://www.cve.org/CVERecord?id=CVE-2025-61594)로 등록되었습니다. uri gem 업그레이드를 추천합니다.
+
+## 세부 내용
+
+`+` 연산자를 사용하여 URI를 결합할 때, 원본 URI의 패스워드와 같은 민감한 정보가 유출될 수 있습니다. 이는 RFC3986을 위반하며 애플리케이션을 자격 증명 정보를 노출시킵니다.
+
+URI gem을 버전 0.12.5, 0.13.3, 1.0.4 이상으로 업데이트해주세요.
+
+## 해당 버전
+
+* uri gem 버전 0.12.5 미만, 0.13.0부터 0.13.2, 1.0.0부터 1.0.3까지.
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [junfuchong (chongfujun)](https://hackerone.com/chongfujun)에게 감사를 표합니다. 또한 이 취약점에 대한 추가 수정을 해준 [nobu](https://github.com/nobu)에게도 감사를 표합니다.
+
+## 수정 이력
+
+* 2025-10-07 00:00:00 (UTC) 최초 공개