PT-2024-6376 · Ruby+11 · Rexml+11

Naitoh

·

Publicado

2024-08-01

·

Atualizado

2026-03-29

·

CVE-2024-41946

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do REXML anteriores à 3.3.3
Descrição
O problema está relacionado a um consumo descontrolado de recursos no kit de ferramentas XML REXML para Ruby. Quando o REXML analisa um XML com muitas expansões de entidade usando a API SAX2 ou a API de analisador pull, isso pode levar a uma negação de serviço. Se XMLs não confiáveis forem analisados com a API SAX2 ou pull parser, os usuários podem ser afetados por este problema.
Recomendações
Para versões anteriores à 3.3.3, atualize para o gem REXML 3.3.3 ou posterior para corrigir a vulnerabilidade.
Como solução alternativa temporária, evite analisar XMLs não confiáveis com a API SAX2 ou pull parser até que o problema seja resolvido.

Exploit

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

ALSA-2024:6670
ALSA-2024:6784
ALSA-2024:6785
ALSA-2025:4063
ALSA-2025:4488
ALSA-2025_4488
AZL-47331
AZL-47358
AZL-47370
AZL-47376
BDU:2024-07419
CESA-2024_6670
CESA-2024_6784
CESA-2025_4063
CVE-2024-41946
DLA-4018-1
DLA-4018-2
ECHO-3A4A-5767-3E7D
GHSA-5866-49GR-22V4
INFSA-2024_6670
INFSA-2024_6784
INFSA-2024_6785
INFSA-2025_4063
INFSA-2025_4488
MGASA-2025-0001
OESA-2024-2038
OPENSUSE-SU-2025:0129-1
RHSA-2024:6670
RHSA-2024:6702
RHSA-2024:6703
RHSA-2024:6784
RHSA-2024:6785
RHSA-2024_6670
RHSA-2024_6784
RHSA-2024_6785
RHSA-2025:4063
RHSA-2025:4488
RHSA-2025_4063
RHSA-2025_4488
RLSA-2024:6670
RLSA-2024:6784
RLSA-2024:6785
SUSE-SU-2024:3874-1
USN-7091-1
USN-7091-2
USN-7840-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Rexml
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu