PT-2022-7276 · Nekohtml+4 · Nekohtml+5

Publicado

2022-04-11

·

Atualizado

2026-03-13

·

CVE-2022-24839

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Nokogiri anteriores à 1.9.22.noko2
Descrição
O problema está relacionado ao consumo descontrolado de recursos ao analisar marcação HTML malformada, o que pode levar a uma exceção java.lang.OutOfMemoryError. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A biblioteca upstream org.cyberneko.html não é mais mantida, e a vulnerabilidade se aplica apenas ao fork usado pelo Nokogiri, localizado em https://github.com/sparklemotion/nekohtml.
Recomendações
Atualize para a versão >= 1.9.22.noko2 para resolver o problema. Como solução temporária, considere restringir o uso do analisador HTML vulnerável até que um patch esteja disponível. Evite analisar marcação HTML malformada para minimizar o risco de exploração.

Exploit

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2022-2027
ALT-PU-2023-4266
ALT-PU-2024-7812
BDU:2024-01887
CVE-2022-24839
GHSA-9849-P7JC-9RMV
GHSA-GX8X-G87M-H5Q6
OESA-2022-1636
OPENSUSE-SU-2024:11999-1
OPENSUSE-SU-2024:13165-1
OPENSUSE-SU-2024:14174-1
OPENSUSE-SU-2025:14697-1
OPENSUSE-SU-2026:10356-1

Produtos afetados

Alt Linux
Debian
Jira
Jira Service Management Server
Nokogiri
Nekohtml