CVE-2021-32740 in Addressable情報

要約

〜によって VulDB • 2026年05月28日

Addressableは、Rubyの標準ライブラリに含まれるURI実装の代替実装です。バージョン2.3.0から2.7.0にかけて、制御されないリソース消費の脆弱性が存在します。AddressableのURIテンプレート実装において、悪意を持って作成されたテンプレートは、制御されないリソース消費を引き起こし、URIと一致させた際にサービス拒否(DoS)に至る可能性があります。通常の使用例では、テンプレートは信頼できないユーザー入力から読み込まれることは通常ありませんが、Addressableに関する過去のセキュリティアドバイザリで、この行為に対する警告は行われていません。Addressableの解析機能を使用しているが、URIテンプレート機能は使用していないユーザーには影響ありません。この脆弱性はバージョン2.8.0で修正されています。回避策として、破滅的なバックトラックを生成しないことが検証された信頼できるソースからのみTemplateオブジェクトを作成してください。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub, Inc.

予約する

2021年05月12日

モデレーション

承諾済み

エントリ

VDB-178005

EPSS

0.02199

アクティビティ

非常低い

セクター

Telecommunication

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!