漏洞详情
CVE ID: CVE-2025-61594 GHSA ID: GHSA-j4pr-3wm6-xx2r 严重等级: 低 (CVSS评分:2.7)
概述
在受影响的URI版本中,存在一个针对CVE-2025-27221修复措施的绕过漏洞,可能导致用户凭据暴露。
影响
当使用+运算符组合URI时,原始URI中的敏感信息(如密码)可能被泄漏。这违反了RFC3986规范,并使应用程序容易遭受凭证暴露。
该漏洞影响以下Ruby系列捆绑的uri gem:
- 0.12.4及更早版本(捆绑在Ruby 3.2系列中)
- 0.13.2及更早版本(捆绑在Ruby 3.3系列中)
- 1.0.3及更早版本(捆绑在Ruby 3.4系列中)
修复方案
升级到以下安全版本:
- 0.12.5
- 0.13.3
- 1.0.4
相关信息
发布日期: 2025年12月30日 最后更新: 2025年12月30日 状态: GitHub已审核
参考链接
- Ruby安全公告:https://www.ruby-lang.org/en/news/2025/02/26/security-advisories/
- HackerOne报告:https://hackerone.com/reports/2957667
- GitHub公告数据库:https://github.com/rubysec/ruby-advisory-db/blob/master/gems/uri/CVE-2025-61594.yml
- 相关修复提交:
技术指标
CVSS v4.0 指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 攻击前提条件(AT): 无(N)
- 所需权限(PR): 无(N)
- 用户交互(UI): 无(N)
- 脆弱系统影响 - 机密性(VC): 低(L)
- 脆弱系统影响 - 完整性(VI): 无(N)
- 脆弱系统影响 - 可用性(VA): 无(N)
- 后续系统影响 - 机密性(SC): 无(N)
- 后续系统影响 - 完整性(SI): 无(N)
- 后续系统影响 - 可用性(SA): 无(N)
CVSS v4.0 向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:U
EPSS 评分
EPSS评分: 0.073% (第23百分位数) 此分数估计该漏洞在未来30天内被利用的概率。
关联弱点(CWE)
CWE-212: 在存储或传输前未正确移除敏感信息 产品存储、传输或共享包含敏感信息的资源,但在使资源可供未经授权的参与者使用之前,未能正确移除该信息。