S'han generat versions correctives del llenguatge de programació Ruby 3.0.1, 2.7.3, 2.6.7 i 2.5.9, en les quals s'eliminen dues vulnerabilitats:
- CVE-2021-28965 és una vulnerabilitat del mòdul REXML integrat que, en analitzar i serialitzar un document XML amb un format especial, pot provocar la creació d'un document XML incorrecte l'estructura del qual no coincideix amb l'original. La gravetat de la vulnerabilitat depèn en gran mesura del context, però no es poden descartar atacs contra algunes aplicacions que utilitzen REXML.
- CVE-2021-28966 - Específic de la plataforma Windows Una vulnerabilitat que permet la creació d'un directori o fitxer arbitrari en parts del sistema de fitxers en què pot escriure l'usuari amb els privilegis del qual s'executa el procés Ruby. El problema està causat per una gestió incorrecta del prefix al mètode Dir.mktmpdir, que permet la substitució de construccions com ara "..\\". Per dur a terme l'atac, el procés ha d'utilitzar dades externes en formar el valor del prefix.
Font: opennet.ru
