Loodi Ruby programmeerimiskeele 3.1.2, 3.0.4, 2.7.6, 2.6.10 korrigeerivad väljalasked, milles kõrvaldati kaks haavatavust:
- CVE-2022-28738 on topeltvaba regulaaravaldise kompileerimiskood, mis tekib siis, kui Regexpi objekti loomisel edastatakse koostatud string. Haavatavust saab ära kasutada, kasutades Regexpi objektis ebausaldusväärseid välisandmeid.
- CVE-2022-28739 – string-to-ujuvaks teisenduskoodi puhvri ületäitumine. Seda haavatavust võidakse potentsiaalselt ära kasutada mälu sisule juurdepääsu saamiseks, kui töödeldakse ebausaldusväärseid väliseid andmeid selliste meetoditega nagu Kernel#Float ja String#to_f.
Allikas: opennet.ru