CVE-2026-35611

Name of the Vulnerable Software and Affected Versions Addressable versões 2.3.0 através de 2.8.9

Description Addressable, uma implementação alternativa de URI para Ruby, contém uma falha em sua implementação de template de URI. Templates que utilizam o modificador '' (explode) com qualquer operador de expansão (por exemplo, {foo}, {+var*}, {#var*}, {/var*}, {.var*}, {;var*}, {?var*}, {&var*}) geram expressões regulares suscetíveis a backtracking catastrófico quando correspondidas a URIs criadas maliciosamente. Da mesma forma, templates com várias variáveis usando os operadores '+' ou '#' (por exemplo, {+v1,v2,v3}) também podem levar a backtracking catastrófico devido ao separador de vírgula dentro da classe de caracteres correspondida. Isso pode resultar em consumo descontrolado de recursos e negação de serviço.

Recommendations Atualize para a versão 2.9.0 ou posterior.