PT-2022-7289 · Nokogiri+6 · Nokogiri+6
Agustin Gianni
+1
·
Publicado
2022-05-20
·
Atualizado
2026-03-13
·
CVE-2022-29181
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Nokogiri anteriores à 1.13.6
Descrição
O problema está relacionado ao tratamento incorreto de tipos de dados inesperados na biblioteca Nokogiri para Ruby. Isso pode permitir que um invasor remoto divulgue informações protegidas ou cause uma negação de serviço. A biblioteca não verifica o tipo de todas as entradas nos analisadores SAX de XML e HTML4, permitindo que entradas não confiáveis especialmente criadas causem erros de acesso ilegal à memória ou leituras de memória não relacionada.
Recomendações
Para versões anteriores à 1.13.6, atualize para a versão 1.13.6 ou posterior do Nokogiri.
Como solução temporária, certifique-se de que a entrada não confiável seja um
String chamando #to s ou equivalente.Exploit
Correção
DoS
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Apple Macos
Nokogiri
Red Os
Suse
Ubuntu