Janë krijuar lëshime korrigjuese të gjuhës programuese Ruby 3.0.1, 2.7.3, 2.6.7 dhe 2.5.9, në të cilat eliminohen dy dobësi:
- CVE-2021-28965 është një cenueshmëri në modulin e integruar REXML, i cili, kur analizon dhe serializon një dokument XML të formatuar posaçërisht, mund të çojë në krijimin e një dokumenti XML të pasaktë, struktura e të cilit nuk përputhet me origjinalin. Ashpërsia e cenueshmërisë varet shumë nga konteksti, por sulmet kundër disa aplikacioneve që përdorin REXML nuk mund të përjashtohen.
- CVE-2021-28966 është një cenueshmëri specifike e platformës Windows që lejon krijimin e një drejtorie ose skedari arbitrar në pjesë të sistemit të skedarëve që janë të shkruajtshme nga përdoruesi me të drejtat e të cilit po ekzekutohet procesi Ruby. Problemi është shkaktuar nga përpunimi i gabuar i prefiksit në metodën Dir.mktmpdir, e cila nuk përjashton zëvendësimin e konstruksioneve si "..\\". Për të sulmuar, procesi duhet të përdorë të dhëna të jashtme kur gjeneron vlerën e prefiksit.
Burimi: opennet.ru