Generirana su ispravna izdanja programskog jezika Ruby 3.0.1, 2.7.3, 2.6.7 i 2.5.9 u kojima su uklonjene dvije ranjivosti:
- CVE-2021-28965 je ranjivost u ugrađenom REXML modulu, koja prilikom parsiranja i serijalizacije posebno formatiranog XML dokumenta može dovesti do stvaranja neispravnog XML dokumenta čija struktura ne odgovara originalu. Ozbiljnost ranjivosti uvelike ovisi o kontekstu, ali napadi na neke aplikacije koje koriste REXML ne mogu se isključiti.
- CVE-2021-28966 je ranjivost specifična za Windows platformu koja dopušta stvaranje proizvoljnog direktorija ili datoteke u dijelovima datotečnog sustava u koje može pisati korisnik s čijim je pravima Ruby proces pokrenut. Problem je uzrokovan neispravnom obradom prefiksa u metodi Dir.mktmpdir, koja ne isključuje zamjenu konstrukcija poput “..\\”. Za napad, proces mora koristiti vanjske podatke prilikom generiranja vrijednosti prefiksa.
Izvor: opennet.ru