CVE-2021-41098

Versões 1.12.4 e anteriores do Nokogiri

O Nokogiri é um Rubygem que fornece analisadores HTML, XML, SAX e Reader com suporte a seletores XPath e CSS. No Nokogiri, exclusivamente no JRuby, o analisador SAX resolve entidades externas por padrão. Os usuários do Nokogiri no JRuby que analisam documentos não confiáveis usando qualquer uma destas classes são afetados: Nokogiri::XML::SAX::Parse, Nokogiri::HTML4::SAX::Parser ou seu alias Nokogiri::HTML::SAX::Parser, Nokogiri:: XML::SAX::PushParser e Nokogiri::HTML4::SAX::PushParser ou seu alias Nokogiri::HTML::SAX::PushParser.

Para as versões 1.12.4 e anteriores do Nokogiri, atualize para o Nokogiri v1.12.5 ou posterior para receber um patch para este problema. Não há soluções alternativas disponíveis para a v1.12.4 ou anteriores. Como solução alternativa temporária, considere desativar o uso do analisador SAX para documentos não confiáveis até que um patch esteja disponível. Restrinja o acesso às classes vulneráveis para minimizar o risco de exploração. Evite usar as classes afetadas para analisar documentos não confiáveis até que o problema seja resolvido.