CVE-2025-27220 Ruby-Lang — эксплойт и детали уязвимости HIGH

CVE-2025-27220

HIGH CVSS 3.1: 7,5 EPSS 0.25%

Параметр	Значение
CVSS	7,5 (HIGH)
Уязвимые версии	0.4.0 — 0.4.2
Устранено в версии	0.3.5.1
Тип уязвимости	CWE-1333 (Атака через регулярные выражения (ReDoS))
Поставщик	Ruby-Lang
Публичный эксплойт	Нет

В геме CGI до версии 0.4.2 для Ruby в методе Util#escapeElement существует уязвимость отказа в обслуживании (ReDoS).

Показать оригинальное описание (EN)

In the CGI gem before 0.4.2 for Ruby, a Regular Expression Denial of Service (ReDoS) vulnerability exists in the Util#escapeElement method.

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Конфигурация	От (включительно)	До (исключительно)
Ruby-Lang Cgi cpe:2.3:a:ruby-lang:cgi::::::ruby::*	—	`0.3.5.1`
Ruby-Lang Cgi cpe:2.3:a:ruby-lang:cgi::::::ruby::*	`0.4.0`	`0.4.2`
Ruby-Lang Cgi cpe:2.3:a:ruby-lang:cgi:0.3.6:::::ruby::	—	—
Ruby-Lang Ruby cpe:2.3:a:ruby-lang:ruby:3.1.0:::::::*	—	—
Ruby-Lang Ruby cpe:2.3:a:ruby-lang:ruby:3.2.0:::::::*	—	—