CVE-2025-27219: CGI::Cookie.parse 서비스 거부(DoS)
cgi gem에서 발견된 이 취약점은 CGI::Cookie.parse 메소드가 특정 조건에서 쿠키 문자열 파싱에 비선형적인 시간을 소요하여 서비스 거부 공격을 유발할 수 있습니다. 악의적으로 조작된 쿠키 문자열은 시스템 자원을 과도하게 소모시킬 수 있습니다. 해결을 위해 cgi gem을 버전 0.3.5.1, 0.3.7, 0.4.2 이상으로 업데이트해야 합니다. (발견: lio346, 수정: mame)
CVE-2025-27220: CGI::Util#escapeElement 정규식 서비스 거부(ReDoS)
이 역시 cgi gem의 취약점으로, CGI::Util#escapeElement에서 사용되는 정규식이 ReDoS 공격에 취약합니다. 조작된 입력은 높은 CPU 사용률을 초래하여 서비스 가용성에 영향을 미칩니다. 특히 Ruby 3.1 및 3.2 버전에 영향을 주며, cgi gem을 버전 0.3.5.1, 0.3.7, 0.4.2 이상으로 업데이트해야 합니다. (발견: svalkanov, 수정: nobu)
CVE-2025-27221: URI#join, URI#merge, URI#+ 사용자 정보 유출
uri gem 관련 취약점으로, URI#join, URI#merge, URI#+ 메소드가 호스트 교체 후에도 user:password와 같은 사용자 정보를 유지할 수 있습니다. 이는 악의적인 호스트로 URL을 생성할 때 민감한 사용자 정보가 의도치 않게 유출될 가능성을 만듭니다. uri gem을 버전 0.11.3, 0.12.4, 0.13.2, 1.0.3 이상으로 업데이트하여 방지할 수 있습니다. (발견: Tsubasa Irisawa (lambdasawa), 추가 수정: nobu)