PT-2024-7269 · Ruby+11 · Rexml+11

Mprogrammer

·

Publicado

2024-05-16

·

Atualizado

2025-10-27

·

CVE-2024-39908

CVSS v4.0

6.9

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas:
Versões do REXML anteriores à 3.3.1
Versões do REXML anteriores à 3.2.7
Descrição:
O problema está relacionado a vulnerabilidades de negação de serviço na gem REXML para Ruby. Ao analisar XML com muitos caracteres específicos, como <, 0 e %>, a gem pode ser afetada. Usuários que precisam analisar XMLs não confiáveis podem ser afetados por essas vulnerabilidades.
Recomendações:
Para versões do REXML anteriores à 3.3.1, atualize para a versão 3.3.2 ou posterior para corrigir as vulnerabilidades.
Para versões do REXML anteriores à 3.2.7, atualize para a versão 3.2.7 ou posterior para corrigir a vulnerabilidade.
Como solução temporária, considere evitar a análise de strings XML não confiáveis até que um patch esteja disponível.

Exploit

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

ALSA-2024:6784
ALSA-2024:6785
ALSA-2024_6784
ALSA-2024_6785
ALSA-2025:4063
ALSA-2025:4488
ALSA-2025_4488
AZL-45429
AZL-45435
AZL-45439
AZL-45769
BDU:2024-08621
CESA-2024_6784
CESA-2025_4063
CVE-2024-39908
DLA-4018-1
DLA-4018-2
ECHO-B0CC-A0A5-6BBA
GHSA-4XQQ-M2HX-25V8
GHSA-R55C-59QM-VJW6
GHSA-VG3R-RM7W-2XGH
INFSA-2024_6784
INFSA-2024_6785
INFSA-2025_4063
INFSA-2025_4488
MGASA-2025-0001
OESA-2024-2114
OPENSUSE-SU-2025:0129-1
RHSA-2024:6784
RHSA-2024:6785
RHSA-2024_6784
RHSA-2024_6785
RHSA-2025:4063
RHSA-2025:4488
RHSA-2025_4063
RHSA-2025_4488
RLSA-2024:6784
RLSA-2024:6785
SUSE-SU-2024:3874-1
USN-7091-1
USN-7091-2
USN-7256-1
USN-7256-2
USN-7418-1
USN-7840-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Rexml
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu