Ruby-ohjelmointikielen 3.0.1, 2.7.3, 2.6.7 ja 2.5.9 korjaavia julkaisuja on luotu, joissa kaksi haavoittuvuutta on poistettu:
- CVE-2021-28965 on sisäänrakennetun REXML-moduulin haavoittuvuus, joka erityisesti muotoiltua XML-asiakirjaa jäsennettäessä ja sarjoitettaessa voi johtaa virheellisen XML-asiakirjan luomiseen, jonka rakenne ei vastaa alkuperäistä. Haavoittuvuuden vakavuus riippuu suuresti kontekstista, mutta hyökkäyksiä joitain REXML:ää käyttäviä sovelluksia vastaan ei voida sulkea pois.
- CVE-2021-28966 on Windows-alustakohtainen haavoittuvuus, joka mahdollistaa mielivaltaisen hakemiston tai tiedoston luomisen tiedostojärjestelmän osiin, joihin Ruby-prosessia käyttävä käyttäjä voi kirjoittaa. Ongelma johtuu etuliitteen virheellisestä käsittelystä Dir.mktmpdir-menetelmässä, mikä ei sulje pois rakenteita, kuten "..\\". Hyökkääkseen prosessin on käytettävä ulkoista tietoa luodessaan etuliitteen arvoa.
Lähde: opennet.ru