PT-2022-16017 · Nokogiri+1 · Nokogiri+1

Davidwilemski

·

Publicado

2022-12-08

·

Atualizado

2026-03-13

·

CVE-2022-23476

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões 1.13.8 a 1.13.9 do Nokogiri
Descrição
O Nokogiri é uma biblioteca de código aberto para XML e HTML destinada à linguagem de programação Ruby. Ele não verifica o valor de retorno do método xmlTextReaderExpand no método Nokogiri::XML::Reader#attribute hash. Isso pode levar a uma exceção de ponteiro nulo quando uma marcação inválida está sendo analisada. Para aplicativos que utilizam XML::Reader para analisar entradas não confiáveis, isso pode ser potencialmente um vetor para um ataque de negação de serviço.
Recomendações
Atualize para o Nokogiri >= 1.13.10.
Como solução temporária, considere procurar no código por chamadas a XML::Reader#attributes ou XML::Reader#attribute hash para determinar se você foi afetado.

Exploit

Correção

DoS

NULL Pointer Dereference

Unchecked Return Value

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476CWE-252

Identificadores relacionados

CVE-2022-23476
GHSA-QV4Q-MR5R-QPRJ
OPENSUSE-SU-2024:13440-1
OPENSUSE-SU-2024:14174-1
OPENSUSE-SU-2025:14697-1
OPENSUSE-SU-2026:10356-1

Produtos afetados

Nokogiri
Red Os