Vulnerabilidad en Ruby (CVE-2024-27282)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
14/05/2024
Última modificación:
04/11/2025
Descripción
Se descubrió un problema en Ruby 3.x hasta 3.3.0. Si los datos proporcionados por el atacante se proporcionan al compilador de expresiones regulares de Ruby, es posible extraer datos del montón arbitrarios relacionados con el inicio del texto, incluidos punteros y cadenas confidenciales. Las versiones fijas son 3.0.7, 3.1.5, 3.2.4 y 3.3.1.
Impacto
Puntuación base 3.x
6.60
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://hackerone.com/reports/2122624
- https://www.ruby-lang.org/en/news/2024/04/23/arbitrary-memory-address-read-regexp-cve-2024-27282/
- https://hackerone.com/reports/2122624
- https://lists.debian.org/debian-lts-announce/2024/09/msg00000.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/27LUWREIFTP3MQAW7QE4PJM4DPAQJWXF/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XYDHPHEZI7OQXTQKTDZHGZNPIJH7ZV5N/
- https://security.netapp.com/advisory/ntap-20241011-0007/
- https://www.ruby-lang.org/en/news/2024/04/23/arbitrary-memory-address-read-regexp-cve-2024-27282/