Ang corrective releases sa Ruby programming language 3.0.1, 2.7.3, 2.6.7 ug 2.5.9 namugna, diin duha ka mga kahuyangan ang giwagtang:
- Ang CVE-2021-28965 usa ka kahuyang sa built-in nga REXML module, nga, kung mag-parse ug mag-serialize sa usa ka espesyal nga pormat nga XML nga dokumento, mahimong mosangpot sa paghimo sa usa ka sayop nga XML nga dokumento kansang istruktura dili mohaum sa orihinal. Ang kagrabe sa pagkahuyang nagdepende pag-ayo sa konteksto, apan ang mga pag-atake batok sa pipila ka mga aplikasyon nga naggamit sa REXML dili mahimong isalikway.
- Ang CVE-2021-28966 usa ka Windows platform-specific vulnerability nga nagtugot sa paghimo sa usa ka arbitraryong direktoryo o file sa mga bahin sa file system nga masulat sa user nga adunay katungod sa proseso sa Ruby. Ang problema tungod sa dili husto nga pagproseso sa prefix sa Dir.mktmpdir nga pamaagi, nga wala iapil ang pag-ilis sa mga konstruksyon sama sa "..\\". Sa pag-atake, ang proseso kinahanglan nga mogamit sa eksternal nga datos kung maghimo sa prefix nga kantidad.
Source: opennet.ru