CVE-2026-41316 in erbinfo

Zusammenfassung

von VulDB • 15.05.2026

ERB ist ein Templating-System für Ruby. Ruby 2.7.0 (bevor ERB 2.2.0 auf rubygems.org veröffentlicht wurde) führte eine `@_init`-Instanzvariablen-Schutzmaßnahme in `ERB#result` und `ERB#run` ein, um die Codeausführung zu verhindern, wenn ein ERB-Objekt über `Marshal.load` (Deserialisierung) rekonstruiert wird. Allerdings wurden drei weitere öffentliche Methoden, die `@src` ebenfalls über `eval()` auswerten, nicht mit dem gleichen Schutz versehen: `ERB#def_method`, `ERB#def_module` und `ERB#def_class`. Ein Angreifer, der in der Lage ist, `Marshal.load` mit nicht vertrauenswürdigen Daten in einer Ruby-Anwendung auszulösen, die `erb` geladen hat, kann `ERB#def_module` (ohne Argumente, Standardparameter) als Code-Ausführungs-Senke nutzen und die `@_init`-Schutzmaßnahme vollständig umgehen. ERB 4.0.3.1, 4.0.4.1, 6.0.1.1 und 6.0.4 beheben das Problem.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

24.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359267

CPE

bereit

EPSS

0.00048

KEV

nein

Aktivitäten

very low

Sektor

Telecommunication, Education, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41316
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41316
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41316/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!