Translate 2025-10-07 URI CVE news (zh_tw)

timfanda35 · bugtender · commit 08056bb10233 · 2025-10-10T17:23:47.000+01:00
diff --git a/zh_tw/news/_posts/2025-10-07-uri-cve-2025-61594.md b/zh_tw/news/_posts/2025-10-07-uri-cve-2025-61594.md
@@ -0,0 +1,38 @@
+---
+layout: news_post
+title: "CVE-2025-61594: URI 繞過之前修復的憑證洩漏漏洞"
+author: "hsbt"
+translator: "Bear Su"
+date: 2025-10-07 00:00:00 +0000
+tags: security
+lang: zh_tw
+---
+
+我們發布了針對 CVE-2025-61594 的安全性公告。
+
+## CVE-2025-61594: URI 針對 CVE-2025-27221 的憑證洩漏漏洞
+
+在受影響的 URI 版本中，存在針對 CVE-2025-27221 修復的繞過漏洞，該漏洞可能會暴露使用者憑證。
+
+該漏洞的 CVE 編號為 [CVE-2025-61594](https://www.cve.org/CVERecord?id=CVE-2025-61594)。
+
+我們建議您升級 uri gem。
+
+## 風險細節
+
+當使用 `+` 運算子組合 URI 時，原始 URI 中的密碼等敏感資訊可能會洩露，從而違反了 RFC3986 並使應用程式受到憑證洩露的威脅。
+
+請更新 URI gem 至 0.12.5、0.13.3、1.0.4 或更新的版本。
+
+## 受影響版本
+
+* uri gem 版本 < 0.12.5、0.13.0 to 0.13.2 和 1.0.0 至 1.0.3。
+
+## 致謝
+
+感謝 [junfuchong (chongfujun)](https://hackerone.com/chongfujun) 發現此問題。
+感謝 [nobu](https://github.com/nobu) 協助修復此風險漏洞。
+
+## 歷史
+
+* 最初發布於 2025-10-07 0:00:00 (UTC)
