安全公告：CVE-2025-27219、CVE-2025-27220 和 CVE-2025-27221

由 hsbt 发布于 2025 年 2 月 26 日

我们发布了 CVE-2025-27219、CVE-2025-27220 和 CVE-2025-27221 的安全公告。请阅读下面的详细信息。

CVE-2025-27219：CGI::Cookie.parse 中的拒绝服务。

cgi gem 中存在 DoS 的可能性。此漏洞已分配 CVE 标识符 CVE-2025-27219。我们建议升级 cgi gem。

详情

CGI::Cookie.parse 在某些情况下解析 cookie 字符串需要超线性时间。将恶意构造的 cookie 字符串馈送到该方法可能导致拒绝服务。

请将 CGI gem 更新到 0.3.5.1、0.3.7、0.4.2 或更高版本。

受影响的版本

• cgi gem 版本 <= 0.3.5、0.3.6、0.4.0 和 0.4.1。

致谢

感谢 lio346 发现此问题。也感谢 mame 修复了此漏洞。

CVE-2025-27220：CGI::Util#escapeElement 中的 ReDoS。

cgi gem 中存在正则表达式拒绝服务 (ReDoS) 的可能性。此漏洞已分配 CVE 标识符 CVE-2025-27220。我们建议升级 cgi gem。

详情

在 CGI::Util#escapeElement 中使用的正则表达式容易受到 ReDoS 攻击。恶意构造的输入可能导致高 CPU 消耗。

此漏洞仅影响 Ruby 3.1 和 3.2。如果您使用的是这些版本，请将 CGI gem 更新到 0.3.5.1、0.3.7、0.4.2 或更高版本。

受影响的版本

• cgi gem 版本 <= 0.3.5、0.3.6、0.4.0 和 0.4.1。

致谢

感谢 svalkanov 发现此问题。也感谢 nobu 修复了此漏洞。

CVE-2025-27221：URI#join、URI#merge 和 URI#+ 中的 userinfo 泄露。

uri gem 中存在 userinfo 泄露的可能性。此漏洞已分配 CVE 标识符 CVE-2025-27221。我们建议升级 uri gem。

详情

即使在主机被替换后，URI#join、URI#merge 和 URI#+ 方法仍然保留了 userinfo，例如 user:password。当使用这些方法从包含秘密 userinfo 的 URL 生成指向恶意主机的 URL，并且有人访问该 URL 时，可能会发生意外的 userinfo 泄露。

请将 URI gem 更新到 0.11.3、0.12.4、0.13.2、1.0.3 或更高版本。

受影响的版本

• uri gem 版本 < 0.11.3、0.12.0 至 0.12.3、0.13.0、0.13.1 和 1.0.0 至 1.0.2。

致谢

感谢 Tsubasa Irisawa (lambdasawa) 发现此问题。也感谢 nobu 对此漏洞进行额外修复。

历史

• 首次发布于 2025-02-26 7:00:00 (UTC)