Translate "CVE-2025-61594: URI Credential Leakage Bypass previous fixes" news (ru)

ablzh · ablzh · commit 90e4cb48529e · 2025-10-21T13:48:44.000+08:00
diff --git a/ru/news/_posts/2025-10-07-uri-cve-2025-61594.md b/ru/news/_posts/2025-10-07-uri-cve-2025-61594.md
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2025-61594: обход предыдущих исправлений утечки учетных данных в URI"
+author: "hsbt"
+translator: "ablzh"
+date: 2025-10-07 00:00:00 +0000
+tags: security
+lang: ru
+---
+
+Мы опубликовали предупреждение по безопасности для CVE-2025-61594.
+
+## CVE-2025-61594: обход исправления CVE-2025-27221, приводящий к утечке учетных данных в URI
+
+В затронутых версиях библиотеки URI существует способ обойти исправление для CVE-2025-27221, что может привести к раскрытию пользовательских данных.
+
+Этой уязвимости присвоен CVE идентификатор [CVE-2025-61594](https://www.cve.org/CVERecord?id=CVE-2025-61594). Мы рекомендуем обновить гем uri.
+
+### Подробности
+
+При использовании оператора `+` для объединения URI конфиденциальная информация, такая как пароли из исходного URI, может утечь, что нарушает RFC3986 и делает приложения уязвимыми к раскрытию учетных данных.
+
+Пожалуйста, обновите гем uri до версии 0.12.5, 0.13.3, 1.0.4 или новее.
+
+### Затронутые версии
+
+* версии гема uri < 0.12.5, 0.13.0 to 0.13.2 and 1.0.0 to 1.0.3.
+
+### Благодарности
+
+Благодарим [junfuchong (chongfujun)](https://hackerone.com/chongfujun) за обнаружение проблемы. Также спасибо [nobu](https://github.com/nobu) за дополнительные исправления этой уязвимости.
+
+## История
+
+* Впервые опубликовано: 2025-10-07 00:00:00 (UTC)
