Des versions correctives du langage de programmation Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 ont été générées, dans lesquelles deux vulnérabilités ont été éliminées :
- CVE-2022-28738 est un code de compilation d'expression régulière à double libération qui se produit lorsqu'une chaîne contrefaite est transmise lors de la création d'un objet Regexp. La vulnérabilité peut être exploitée en utilisant des données externes non fiables dans un objet Regexp.
- CVE-2022-28739 - Débordement de tampon dans le code de conversion chaîne en flottant. La vulnérabilité pourrait potentiellement être exploitée pour accéder au contenu de la mémoire lors du traitement de données externes non fiables dans des méthodes telles que Kernel#Float et String#to_f.
Source: opennet.ru