Oooooo_Q

**Nome do software vulnerável e versões afetadas** Versões do Action Text 6.0.0 a 6.1.7.8 Versões do Action Text 7.0.0 a 7.0.8.4 Versões do Action Text 7.1.0 a 7.1.4.0 Versões do Action Text 7.2.0 a 7.2.1.0 **Descrição** O problema está relacionado ao helper `plain text for blockquote node` no Action Text, que pode causar uma negação de serviço devido a uma possível vulnerabilidade ReDoS. Um texto cuidadosamente elaborado pode fazer com que o helper `plain text for blockquote node` demore um tempo inesperado. Esse problema pode ser mitigado no Ruby 3.2 ou versões mais recentes, portanto, aplicativos Rails que utilizam Ruby 3.2 ou versões mais recentes não são afetados. **Recomendações** Para as versões 6.0.0 a 6.1.7.8 do Action Text, atualize para a versão 6.1.7.9 ou aplique o patch relevante. Para as versões 7.0.0 a 7.0.8.4 do Action Text, atualize para a versão 7.0.8.5 ou aplique o patch relevante. Para as versões 7.1.0 a 7.1.4.0 do Action Text, atualize para a versão 7.1.4.1 ou aplique o patch relevante. Para as versões 7.2.0 a 7.2.1.0 do Action Text, atualize para a versão 7.2.1.1 ou aplique o patch relevante. Como solução alternativa temporária, os usuários podem evitar chamar `plain text for blockquote node` ou atualizar para o Ruby 3.2.

**Nome do software vulnerável e versões afetadas** Versões do RDoc 6.3.3 a 6.6.2 **Descrição** A vulnerabilidade está relacionada à restauração de dados não confiáveis na memória pelo gerador de documentação RDoc para a linguagem de programação Ruby. Isso pode ser explorado para executar código arbitrário por meio de arquivos especialmente criados com a extensão .rdoc options. Ao analisar o .rdoc options como um arquivo YAML, a injeção de objetos e a consequente execução remota de código são possíveis devido à falta de restrições nas classes que podem ser restauradas. Além disso, ao carregar o cache de documentação, a injeção de objetos e a consequente execução remota de código também são possíveis se existir um cache malicioso. **Recomendações** Para usuários do Ruby 3.0, atualize para o rdoc 6.3.4.1. Para usuários do Ruby 3.1, atualize para o rdoc 6.4.1.1. Para usuários do Ruby 3.2, atualize para o rdoc 6.5.1.1. Para outros usuários, atualize o gem RDoc para a versão 6.6.3.1 ou posterior. Você pode usar `gem update rdoc` para atualizá-la. Se estiver usando o bundler, adicione `gem “rdoc”, “>= 6.6.3.1”` ao seu `Gemfile`. Como solução temporária, considere restringir o acesso ao arquivo `.rdoc options` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** URI versions prior to 0.12.2 URI version 0.10.3 is a fixed version, implying versions prior to 0.10.3 and between 0.10.3 and 0.12.2 are vulnerable, but for clarity and conciseness, we focus on the range prior to 0.12.2 as the primary affected range. **Description** A ReDoS issue was discovered in the URI component for Ruby, related to the mishandling of invalid URLs containing specific characters by the URI parser. This leads to an increase in execution time for parsing strings to URI objects, particularly affecting rfc2396 parser.rb and rfc3986 parser.rb. The issue exists due to an incomplete fix for a previous problem. Exploitation of this vulnerability can allow a remote attacker to cause a denial of service. **Recommendations** For versions prior to 0.12.2, update to version 0.12.2 or later to resolve the issue. As a temporary workaround, consider restricting the use of the `rfc2396 parser.rb` and `rfc3986 parser.rb` components until a patch is applied. Avoid using the vulnerable URI parser for handling untrusted or potentially malicious URLs until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Time component versions through 0.2.1 Ruby versions through 3.2.1 **Description** A ReDoS issue was discovered in the Time component, where the Time parser mishandles invalid URLs with specific characters, causing an increase in execution time for parsing strings to Time objects. This issue is related to the use of a regular expression with inefficient computational complexity, which can be exploited by a remote attacker to cause a denial of service. **Recommendations** For Time component versions through 0.2.1, update to version 0.2.2 to resolve the issue. For Ruby versions through 3.2.1, ensure that the Time component is updated to a fixed version, such as 0.2.2, to mitigate the risk of exploitation. As a temporary workaround, consider restricting the use of the Time parser to minimize the risk of exploitation until a patch is available.

**Nome do software vulnerável e versões afetadas** Versões do Ruby até a 2.6.8 Versões do gem CGI até a 0.3.0 **Descrição** O problema está relacionado à função CGI::Cookie.parse no Ruby, que lida incorretamente com prefixos de segurança em nomes de cookies. Isso permite que um invasor remoto comprometa a integridade dos dados. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do Ruby até a 2.6.8, atualize para uma versão posterior à 2.6.8 para resolver o problema. Para versões do gem CGI até a 0.3.0, atualize para uma versão posterior à 0.3.0 para resolver o problema. Como solução temporária, considere restringir o uso da função `CGI::Cookie.parse` até que um patch esteja disponível.