CVE-2026-54905— concurrent-ruby ReentrantReadWriteLock 读计数溢出致非独占写锁
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-54905の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
concurrent-ruby: `ReentrantReadWriteLock` read-count overflow grants a write lock without exclusivity
ソース: NVD (National Vulnerability Database)
脆弱性説明
concurrent-ruby is a modern concurrency tools for Ruby. Prior to 1.3.7, Concurrent::ReentrantReadWriteLock can incorrectly grant a write lock after one thread acquires the read lock 32,768 times. The lock stores a thread's local read and write hold counts in one integer. The low 15 bits are used for the read hold count, and bit 15 is used as WRITE_LOCK_HELD. After 32,768 reentrant read acquisitions, the local read count crosses into the write-lock bit. try_write_lock then treats the thread as already holding a write lock and returns true without setting the global RUNNING_WRITER bit. This breaks the core mutual-exclusion guarantee: the caller is told it has a write lock, but other threads can still hold or acquire read locks at the same time. This vulnerability is fixed in 1.3.7.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
超界折返处理错误
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| ruby-concurrency | concurrent-ruby | < 1.3.7 | - |
II. CVE-2026-54905の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-54905のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-54905 其他参考 (1)
Same Patch Batch · ruby-concurrency · 2026-06-24 · 3 CVEs total
| CVE-2026-54904 | concurrent-ruby: `AtomicReference#update` livelocks when the stored value is `Float::NAN` | |
| CVE-2026-54906 | concurrent-ruby: ReadWriteLock allows wrong-thread write release and stray read-release co |
IV. 関連脆弱性
V. CVE-2026-54905へのコメント
まだコメントはありません