CVE-2025-61594 취약점 상세 분석이 취약점은 URI gem의 특정 버전에서 URI를 결합할 때 발생하는 문제입니다. 특히, + 연산자를 사용하여 URI를 결합하는 과정에서 원본 URI에 포함된 민감한 정보, 예를 들어 비밀번호와 같은 자격 증명이 의도치 않게 노출될 수 있습니다. 이는 RFC3986 표준을 위반하며, 애플리케이션의 보안을 심각하게 위협할 수 있습니다.
취약점 발생 원인
+연산자를 이용한 URI 결합 로직의 결함- 기존 CVE-2025-27221 패치의 우회 경로 존재
- RFC3986 표준 미준수로 인한 자격 증명 누출 가능성
영향 받는 버전다음 URI gem 버전이 이 취약점에 영향을 받습니다:* 0.12.5 미만 버전
- 0.13.0 부터 0.13.2 까지의 버전
- 1.0.0 부터 1.0.3 까지의 버전
해결 방안이 취약점을 해결하기 위한 유일한 방법은 URI gem을 보안 패치가 적용된 최신 버전으로 업데이트하는 것입니다. 권장되는 업데이트 버전은 다음과 같습니다:* 0.12.5 또는 이후 버전
- 0.13.3 또는 이후 버전
- 1.0.4 또는 이후 버전개발자들은
Gemfile또는gemspec파일을 확인하여 현재 사용 중인 URI gem의 버전을 확인하고, 즉시 권장 버전 이상으로 업데이트해야 합니다.