نسخه های اصلاحی زبان برنامه نویسی Ruby 3.0.1، 2.7.3، 2.6.7 و 2.5.9 تولید شده است که در آن دو آسیب پذیری حذف شده است:
- CVE-2021-28965 یک آسیب پذیری در ماژول داخلی REXML است که هنگام تجزیه و سریال سازی یک سند XML فرمت شده خاص، می تواند منجر به ایجاد یک سند XML نادرست شود که ساختار آن با اصلی مطابقت ندارد. شدت آسیب پذیری به شدت به زمینه بستگی دارد، اما حملات علیه برخی از برنامه هایی که از REXML استفاده می کنند را نمی توان رد کرد.
- CVE-2021-28966 یک آسیبپذیری خاص پلتفرم ویندوز است که اجازه میدهد یک فهرست یا فایل دلخواه در قسمتهایی از سیستم فایل ایجاد شود که توسط کاربری که فرآیند Ruby با حقوق او اجرا میشود، قابل نوشتن است. مشکل ناشی از پردازش نادرست پیشوند در روش Dir.mktmpdir است که جایگزینی ساختارهایی مانند "..\\" را حذف نمی کند. برای حمله، فرآیند باید هنگام تولید مقدار پیشوند از داده های خارجی استفاده کند.
منبع: opennet.ru