From 95ae4e81cb6450ca9fc859375de5dce43b518b75 Mon Sep 17 00:00:00 2001 From: "copilot-swe-agent[bot]" <198982749+Copilot@users.noreply.github.com> Date: Tue, 21 Apr 2026 09:21:18 +0000 Subject: [PATCH 1/3] Add Korean translation for CVE-2026-41316 (ERB deserialization guard bypass) Agent-Logs-Url: https://github.com/ruby/www.ruby-lang.org/sessions/5d22ca24-0f38-43f4-8adf-50871c0d5d08 Co-authored-by: marocchino <128431+marocchino@users.noreply.github.com> --- .../_posts/2026-04-21-erb-cve-2026-41316.md | 41 +++++++++++++++++++ 1 file changed, 41 insertions(+) create mode 100644 ko/news/_posts/2026-04-21-erb-cve-2026-41316.md diff --git a/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md new file mode 100644 index 0000000000..a78abcd21f --- /dev/null +++ b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md @@ -0,0 +1,41 @@ +--- +layout: news_post +title: "CVE-2026-41316: def_module / def_method / def_class를 통한 ERB @_init 역직렬화 가드 우회" +author: "k0kubun" +translator: "shia" +date: 2026-04-21 07:51:00 +0000 +tags: security +lang: ko +--- + +CVE-2026-41316에 대한 보안 권고를 공개했습니다. + +## CVE-2026-41316: def\_module / def\_method / def\_class를 통한 ERB @\_init 역직렬화 가드 우회 + +ERB에서 역직렬화 취약점이 발견되었습니다. 이 취약점은 CVE 번호 [CVE-2026-41316](https://www.cve.org/CVERecord?id=CVE-2026-41316)로 등록되었습니다. erb gem을 업그레이드하기를 추천합니다. + +### 영향 범위 + +신뢰할 수 없는 데이터에 대해 `Marshal.load`를 호출하고 `erb`와 `activesupport`가 모두 로드되어 있는 모든 Ruby 애플리케이션은 임의 코드 실행에 취약합니다. 다음을 포함합니다: + +- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby on Rails 애플리케이션** -- 캐싱, 데이터 가져오기 또는 IPC에 Marshal.load를 사용하는 모든 Rails 앱(모든 Rails 앱은 ActiveSupport와 ERB를 모두 로드함) +- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby 도구** -- 캐싱, 데이터 가져오기 또는 IPC에 `Marshal.load`를 사용하는 모든 도구 +- **레거시 Rails 앱** (7.0 이전) -- 쿠키 세션 직렬화에 여전히 Marshal을 사용하는 앱 + +### 세부 내용 + +ERB는 신뢰할 수 없는 데이터에 대해 `Marshal.load`로 ERB 객체를 재구성할 때 코드 실행을 방지하기 위해 `@_init` 가드를 구현합니다. 그러나 `ERB#def_method`, `ERB#def_module`, `ERB#def_class`는 이 가드를 확인하지 않고 템플릿 소스를 평가하므로, `Marshal.load`에 전달되는 데이터를 제어하는 공격자가 보호를 우회하여 임의 코드를 실행할 수 있습니다. 특히 `def_module`은 인수를 받지 않으므로, 역직렬화 가젯 체인의 일부로 간단히 호출할 수 있습니다. + +erb gem을 4.0.3.1, 4.0.4.1, 6.0.1.1, 6.0.4 이상으로 업데이트하세요. + +### 해당 버전 + +* erb gem 6.0.3 이하 + +### 도움을 준 사람 + +이 문제를 발견해 준 [TristanInSec](https://github.com/TristanInSec)에게 감사를 표합니다. + +## 수정 이력 + +* 2026-04-21 07:51:00 (UTC) 최초 공개 From aed2de7fe32ef2dc27180131a66bd111ee4d6849 Mon Sep 17 00:00:00 2001 From: marocchino Date: Tue, 21 Apr 2026 18:27:45 +0900 Subject: [PATCH 2/3] Apply suggestions from code review Co-authored-by: marocchino --- ko/news/_posts/2026-04-21-erb-cve-2026-41316.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md index a78abcd21f..3a6e2741b3 100644 --- a/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md +++ b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md @@ -2,7 +2,7 @@ layout: news_post title: "CVE-2026-41316: def_module / def_method / def_class를 통한 ERB @_init 역직렬화 가드 우회" author: "k0kubun" -translator: "shia" +translator: "copilot" date: 2026-04-21 07:51:00 +0000 tags: security lang: ko @@ -16,7 +16,7 @@ ERB에서 역직렬화 취약점이 발견되었습니다. 이 취약점은 CVE ### 영향 범위 -신뢰할 수 없는 데이터에 대해 `Marshal.load`를 호출하고 `erb`와 `activesupport`가 모두 로드되어 있는 모든 Ruby 애플리케이션은 임의 코드 실행에 취약합니다. 다음을 포함합니다: +신뢰할 수 없는 데이터에 대해 `Marshal.load`를 호출하고 `erb`와 `activesupport`가 모두 로드되어 있는 모든 Ruby 애플리케이션은 임의 코드 실행에 취약합니다. 다음을 포함합니다. - **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby on Rails 애플리케이션** -- 캐싱, 데이터 가져오기 또는 IPC에 Marshal.load를 사용하는 모든 Rails 앱(모든 Rails 앱은 ActiveSupport와 ERB를 모두 로드함) - **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby 도구** -- 캐싱, 데이터 가져오기 또는 IPC에 `Marshal.load`를 사용하는 모든 도구 From 1d3410afd708ef3ccd4c987cc55dcca1711a7956 Mon Sep 17 00:00:00 2001 From: marocchino Date: Wed, 22 Apr 2026 04:34:23 +0900 Subject: [PATCH 3/3] Apply suggestions from code review Co-authored-by: Chayoung You --- ko/news/_posts/2026-04-21-erb-cve-2026-41316.md | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md index 3a6e2741b3..7412debcb9 100644 --- a/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md +++ b/ko/news/_posts/2026-04-21-erb-cve-2026-41316.md @@ -12,14 +12,14 @@ CVE-2026-41316에 대한 보안 권고를 공개했습니다. ## CVE-2026-41316: def\_module / def\_method / def\_class를 통한 ERB @\_init 역직렬화 가드 우회 -ERB에서 역직렬화 취약점이 발견되었습니다. 이 취약점은 CVE 번호 [CVE-2026-41316](https://www.cve.org/CVERecord?id=CVE-2026-41316)로 등록되었습니다. erb gem을 업그레이드하기를 추천합니다. +ERB에서 역직렬화 취약점이 발견되었습니다. 이 취약점은 CVE 번호 [CVE-2026-41316](https://www.cve.org/CVERecord?id=CVE-2026-41316)으로 등록되었습니다. erb gem을 업그레이드하기를 추천합니다. ### 영향 범위 신뢰할 수 없는 데이터에 대해 `Marshal.load`를 호출하고 `erb`와 `activesupport`가 모두 로드되어 있는 모든 Ruby 애플리케이션은 임의 코드 실행에 취약합니다. 다음을 포함합니다. -- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby on Rails 애플리케이션** -- 캐싱, 데이터 가져오기 또는 IPC에 Marshal.load를 사용하는 모든 Rails 앱(모든 Rails 앱은 ActiveSupport와 ERB를 모두 로드함) -- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby 도구** -- 캐싱, 데이터 가져오기 또는 IPC에 `Marshal.load`를 사용하는 모든 도구 +- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby on Rails 애플리케이션** -- 캐싱, 데이터 가져오기, IPC에 Marshal.load를 사용하는 모든 Rails 앱(모든 Rails 앱은 ActiveSupport와 ERB를 모두 로드함) +- **신뢰할 수 없는 직렬화 데이터를 가져오는 Ruby 도구** -- 캐싱, 데이터 가져오기, IPC에 `Marshal.load`를 사용하는 모든 도구 - **레거시 Rails 앱** (7.0 이전) -- 쿠키 세션 직렬화에 여전히 Marshal을 사용하는 앱 ### 세부 내용