Ruby · Uri · CVE-2025-27221
**Nome do Software Vulnerável e Versões Afetadas**
Versões da gem URI anteriores a 0.11.3
Versões da gem URI de 0.12.0 a 0.12.3
Versões da gem URI de 0.13.0 a 0.13.1
Versões da gem URI de 1.0.0 a 1.0.2
**Descrição**
Os métodos de manipulação de URI (`URI.join`, `URI#merge`, `URI#+`) na gem URI para Ruby possuem um vazamento inadvertido de credenciais de autenticação, pois o userinfo é mantido mesmo após a alteração do host. Isso pode resultar em um vazamento não intencional de userinfo ao gerar uma URL para um host malicioso a partir de uma URL contendo userinfo secreto utilizando esses métodos.
**Recomendações**
Para versões da gem URI anteriores a 0.11.3, atualize para a versão 0.11.3 ou posterior.
Para versões da gem URI de 0.12.0 a 0.12.3, atualize para a versão 0.12.4 ou posterior.
Para versões da gem URI de 0.13.0 a 0.13.1, atualize para a versão 0.13.2 ou posterior.
Para versões da gem URI de 1.0.0 a 1.0.2, atualize para a versão 1.0.3 ou posterior.
Como solução temporária, considere evitar o uso dos métodos `URI#join`, `URI#merge` e `URI#+` até que uma correção esteja disponível.