PT-2021-7376 · Ruby+11 · Ruby+11
Oooooo_Q
·
Publicado
2021-11-24
·
Atualizado
2025-12-12
·
CVE-2021-41819
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Ruby até a 2.6.8
Versões do gem CGI até a 0.3.0
Descrição
O problema está relacionado à função CGI::Cookie.parse no Ruby, que lida incorretamente com prefixos de segurança em nomes de cookies. Isso permite que um invasor remoto comprometa a integridade dos dados. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões do Ruby até a 2.6.8, atualize para uma versão posterior à 2.6.8 para resolver o problema.
Para versões do gem CGI até a 0.3.0, atualize para uma versão posterior à 0.3.0 para resolver o problema.
Como solução temporária, considere restringir o uso da função
CGI::Cookie.parse até que um patch esteja disponível.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Cgi Gem
Centos
Linuxmint
Red Hat
Red Os
Rocky Linux
Ruby
Suse
Ubuntu