PT-2024-7933 · Unknown+6 · Actiontext+6

Oooooo_Q

·

Publicado

2024-10-15

·

Atualizado

2025-11-25

·

CVE-2024-47888

CVSS v4.0

6.6

Média

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U
Nome do software vulnerável e versões afetadas
Versões do Action Text 6.0.0 a 6.1.7.8
Versões do Action Text 7.0.0 a 7.0.8.4
Versões do Action Text 7.1.0 a 7.1.4.0
Versões do Action Text 7.2.0 a 7.2.1.0
Descrição
O problema está relacionado ao helper plain text for blockquote node no Action Text, que pode causar uma negação de serviço devido a uma possível vulnerabilidade ReDoS. Um texto cuidadosamente elaborado pode fazer com que o helper plain text for blockquote node demore um tempo inesperado. Esse problema pode ser mitigado no Ruby 3.2 ou versões mais recentes, portanto, aplicativos Rails que utilizam Ruby 3.2 ou versões mais recentes não são afetados.
Recomendações
Para as versões 6.0.0 a 6.1.7.8 do Action Text, atualize para a versão 6.1.7.9 ou aplique o patch relevante.
Para as versões 7.0.0 a 7.0.8.4 do Action Text, atualize para a versão 7.0.8.5 ou aplique o patch relevante.
Para as versões 7.1.0 a 7.1.4.0 do Action Text, atualize para a versão 7.1.4.1 ou aplique o patch relevante.
Para as versões 7.2.0 a 7.2.1.0 do Action Text, atualize para a versão 7.2.1.1 ou aplique o patch relevante.
Como solução alternativa temporária, os usuários podem evitar chamar plain text for blockquote node ou atualizar para o Ruby 3.2.

Exploit

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333

Identificadores relacionados

ALT-PU-2025-3714
BDU:2024-09437
BIT-RAILS-2024-47888
CVE-2024-47888
DLA-4383-1
DSA-5881-1
GHSA-WWHV-WXV9-RPGW
OPENSUSE-SU-2024:14473-1
OPENSUSE-SU-2024:14479-1
OPENSUSE-SU-2025:15111-1
OPENSUSE-SU-2025:15124-1
USN-7290-1

Produtos afetados

Alt Linux
Actiontext
Debian
Linuxmint
Red Os
Ruby
Ubuntu