نسخه های اصلاحی زبان برنامه نویسی Ruby 3.1.2، 3.0.4، 2.7.6، 2.6.10 تشکیل شده است که در آن دو آسیب پذیری حذف شده است:
- CVE-2022-28738 - حافظه دوگانه آزاد (دوگانه رایگان) در کد کامپایل عبارات منظم که هنگام عبور یک رشته ساخته شده خاص هنگام ایجاد یک شی Regexp رخ می دهد. اگر از داده های خارجی تایید نشده در شی Regexp استفاده شود، این آسیب پذیری می تواند مورد سوء استفاده قرار گیرد.
- CVE-2022-28739 - سرریز بافر در کد تبدیل رشته به شناور. این آسیبپذیری به طور بالقوه میتواند برای دسترسی به محتویات حافظه هنگام مدیریت دادههای خارجی تایید نشده در روشهایی مانند Kernel#Float و String#to_f مورد سوء استفاده قرار گیرد.
منبع: opennet.ru