Xeráronse versións correctivas da linguaxe de programación Ruby 3.0.1, 2.7.3, 2.6.7 e 2.5.9, nas que se eliminan dúas vulnerabilidades:
- CVE-2021-28965 é unha vulnerabilidade no módulo REXML integrado que, ao analizar e serializar un documento XML con formato especial, pode levar á creación dun documento XML incorrecto cuxa estrutura non coincide coa orixinal. A gravidade da vulnerabilidade depende en gran medida do contexto, pero non se poden descartar ataques contra algunhas aplicacións que usan REXML.
- CVE-2021-28966 é unha vulnerabilidade específica da plataforma Windows que permite a creación dun directorio ou ficheiro arbitrario en partes do sistema de ficheiros que poden escribir o usuario con cuxos dereitos se está a executar o proceso Ruby. O problema é causado por un procesamento incorrecto do prefixo no método Dir.mktmpdir, que non exclúe a substitución de construcións como “..\\”. Para atacar, o proceso debe utilizar datos externos ao xerar o valor do prefixo.
Fonte: opennet.ru