Multiple vulnerabilities in Ruby's CGI and URI gems (CVSS 7.5) allow a remote, anonymous attacker to cause a denial of service and disclose sensitive information. Affected versions include Ruby itself prior to versions 3.2.8 and 3.1.7, the URI gem prior to versions 0.11.3, 0.12.4, 0.13.2, and 1.0.3, and the CGI gem prior to versions 0.3.5.1, 0.3.7, and 0.4.2. The advisory confirms mitigations are available, requiring an upgrade to the specified patched versions.
[WID-SEC-2025-0438] Ruby (CGI und URI gem): Mehrere Schwachstellen CVSS Base Score 7.5 (hoch) CVSS Temporal Score 6.5 (mittel) Remoteangriff ja Datum 25.02.2025 Stand UPDATE 19.05.2026 Mitigation ja Betroffene Systeme Betriebssystem Sonstiges UNIX Windows Produktbeschreibung Ruby ist eine interpretierte, objektorientierte Skriptsprache. Produkte UPDATE 18.05.2026 IBM DB2 UPDATE 04.11.2025 Dell Secure Connect Gateway Appliance <5.32.00.18 UPDATE 29.07.2025 RESF Rocky Linux UPDATE 24.04.2025 SUSE Linux UPDATE 23.04.2025 Red Hat Enterprise Linux UPDATE 22.04.2025 Oracle Linux UPDATE 13.04.2025 Fedora Linux UPDATE 07.04.2025 Ubuntu Linux UPDATE 25.03.2025 Open Source Ruby <3.2.8 Open Source Ruby <3.1.7 UPDATE 10.03.2025 Debian Linux 25.02.2025 Open Source Ruby URI gem <0.11.3 Open Source Ruby URI gem <0.12.4 Open Source Ruby URI gem <0.13.2 Open Source Ruby URI gem <1.0.3 Open Source Ruby CGI gem <0.3.5.1 Open Source Ruby CGI gem <0.3.7 Open Source Ruby CGI gem <0.4.2 Angriff Angriff Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Ruby ausnutzen, um einen Denial-of-Service-Zustand zu erzeugen und vertrauliche Informationen preiszugeben. CVE Informationen Versionshistorie Feedback zum Advisory geben