Kaluaran koréksi tina basa pamrograman Ruby 3.0.1, 2.7.3, 2.6.7 sareng 2.5.9 parantos dihasilkeun, dimana dua kerentanan dileungitkeun:
- CVE-2021-28965 mangrupikeun kerentanan dina modul REXML anu diwangun, anu, nalika parsing sareng serialisasi dokumén XML anu diformat khusus, tiasa nyababkeun nyiptakeun dokumen XML anu lepat anu strukturna henteu cocog sareng aslina. Severity tina kerentanan gumantung pisan kana konteks, tapi serangan ngalawan sababaraha aplikasi nu make REXML teu bisa maréntah kaluar.
- CVE-2021-28966 mangrupikeun kerentanan khusus platform Windows anu ngamungkinkeun nyiptakeun diréktori atanapi file sawenang-wenang dina bagian sistem file anu tiasa ditulis ku pangguna anu ngagaduhan hak prosés Ruby dijalankeun. Masalahna disababkeun ku ngolah awalan anu salah dina metode Dir.mktmpdir, anu henteu ngaluarkeun substitusi konstruksi sapertos "..\\". Pikeun nyerang, prosésna kedah nganggo data éksternal nalika ngahasilkeun nilai awalan.
sumber: opennet.ru