CVE-2025-27221

Nome do Software Vulnerável e Versões Afetadas Versões da gem URI anteriores a 0.11.3 Versões da gem URI de 0.12.0 a 0.12.3 Versões da gem URI de 0.13.0 a 0.13.1 Versões da gem URI de 1.0.0 a 1.0.2

Descrição Os métodos de manipulação de URI (URI.join, URI#merge, URI#+) na gem URI para Ruby possuem um vazamento inadvertido de credenciais de autenticação, pois o userinfo é mantido mesmo após a alteração do host. Isso pode resultar em um vazamento não intencional de userinfo ao gerar uma URL para um host malicioso a partir de uma URL contendo userinfo secreto utilizando esses métodos.

Recomendações Para versões da gem URI anteriores a 0.11.3, atualize para a versão 0.11.3 ou posterior. Para versões da gem URI de 0.12.0 a 0.12.3, atualize para a versão 0.12.4 ou posterior. Para versões da gem URI de 0.13.0 a 0.13.1, atualize para a versão 0.13.2 ou posterior. Para versões da gem URI de 1.0.0 a 1.0.2, atualize para a versão 1.0.3 ou posterior. Como solução temporária, considere evitar o uso dos métodos URI#join, URI#merge e URI#+ até que uma correção esteja disponível.