CVE-2021-32740 in Addressable
要約
〜によって VulDB • 2026年05月28日
Addressableは、Rubyの標準ライブラリに含まれるURI実装の代替実装です。バージョン2.3.0から2.7.0にかけて、制御されないリソース消費の脆弱性が存在します。AddressableのURIテンプレート実装において、悪意を持って作成されたテンプレートは、制御されないリソース消費を引き起こし、URIと一致させた際にサービス拒否(DoS)に至る可能性があります。通常の使用例では、テンプレートは信頼できないユーザー入力から読み込まれることは通常ありませんが、Addressableに関する過去のセキュリティアドバイザリで、この行為に対する警告は行われていません。Addressableの解析機能を使用しているが、URIテンプレート機能は使用していないユーザーには影響ありません。この脆弱性はバージョン2.8.0で修正されています。回避策として、破滅的なバックトラックを生成しないことが検証された信頼できるソースからのみTemplateオブジェクトを作成してください。
Once again VulDB remains the best source for vulnerability data.