CVE-2026-41316 in erbالمعلومات

الملخص

بحسب VulDB • 09/05/2026

ERB هو نظام قوالب (templating system) لـ Ruby. أضافت Ruby 2.7.0 (قبل نشر ERB 2.2.0 على rubygems.org) حماية متغير مثيل `@_init` في `ERB#result` و`ERB#run` لمنع تنفيذ الكود عند إعادة بناء كائن ERB عبر `Marshal.load` (إعادة التسلسل). ومع ذلك، لم تُمنح نفس الحماية لثلاث طرق عامة أخرى تقوم بتقييم `@src` عبر `eval()`، وهي: `ERB#def_method` و`ERB#def_module` و`ERB#def_class`. يمكن لمهاجم قادر على تشغيل `Marshal.load` على بيانات غير موثوقة في تطبيق Ruby يحتوي على مكتبة `erb` مستخدمة أن يستغل `ERB#def_module` (بدون وسيطات، مع معاملات افتراضية) كنقطة لتنفيذ الكود، متجاوزاً حماية `@_init` تماماً. تقوم الإصدارات ERB 4.0.3.1، و4.0.4.1، و6.0.1.1، و6.0.4 بإصلاح هذه الثغرة.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/04/2026

إفشاء

24/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359267

CPE

جاهز

CWE

CWE-693 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00048

KEV

لا

النشاطات

منخفض جدًا

القطاع

Insurance, Pharma, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41316
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41316
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41316/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!