PT-2024-7270 · Ruby+10 · Rexml+10
Mprogrammer
·
Publicado
2023-06-27
·
Atualizado
2025-12-10
·
CVE-2024-35176
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
Versões do REXML anteriores à 3.2.6
Versões do REXML anteriores à 3.3.1
Versões do REXML anteriores à 3.3.2
Versões do REXML anteriores à 3.3.3
Descrição:
A gem REXML apresenta uma vulnerabilidade de negação de serviço ao analisar um XML que contenha muitos caracteres
< no valor de um atributo. Aqueles que precisam analisar XMLs não confiáveis podem ser afetados por essa vulnerabilidade.Recomendações:
Para versões do REXML anteriores à 3.2.6, atualize para a gem REXML 3.2.7 ou posterior.
Para versões do REXML anteriores à 3.3.1, atualize para a gem REXML 3.3.2 ou posterior.
Para versões do REXML anteriores à 3.3.2, atualize para a gem REXML 3.3.3 ou posterior.
Como solução alternativa temporária, não analise XMLs não confiáveis.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Rexml
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu