PT-2024-8321 · Ruby+12 · Ruby+12

Manun

Publicado

2024-10-28

Atualizado

2026-03-26

CVE-2024-49761

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Versões da gem REXML anteriores à 3.3.9

Ruby 3.1

Descrição

O problema está relacionado a uma vulnerabilidade ReDoS na gem REXML ao analisar XML com muitos dígitos entre &# e x...; em uma referência de caractere numérico hexadecimal (&#x...;). Essa vulnerabilidade pode ser explorada para realizar um ataque de negação de serviço. A vulnerabilidade não afeta o Ruby 3.2 ou versões posteriores. O Ruby 3.1 é a única versão mantida do Ruby que é afetada.

Recomendações

Para versões da gem REXML anteriores à 3.3.9, atualize para a versão 3.3.9 ou posterior para corrigir a vulnerabilidade.

Para o Ruby 3.1, considere usar o Ruby 3.2 ou posterior, pois o Ruby 3.1 chegará ao fim de vida útil em 2025.

Exploit

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333

Identificadores relacionados

ALSA-2024:10834

ALSA-2024:10850

ALSA-2024:10858

ALSA-2024:10860

ALSA-2024_10858

ALSA-2024_10860

ALSA-2025:11047

AZL-51876

AZL-51894

AZL-51904

AZL-51908

BDU:2024-09876

CESA-2024_10834

CESA-2024_10850

CESA-2025_11047

CVE-2024-49761

DLA-4018-1

DLA-4018-2

ECHO-7B6A-B6B8-DEB0

GHSA-2RXP-V6PW-CH6M

INFSA-2024_10834

INFSA-2024_10850

INFSA-2024_10858

INFSA-2024_10860

INFSA-2025_11047

MGASA-2025-0001

OESA-2024-2341

OPENSUSE-SU-2025:0129-1

OPENSUSE-SU-2025_0736-1

RHSA-2024:10777

RHSA-2024:10834

RHSA-2024:10850

RHSA-2024:10858

RHSA-2024:10860

RHSA-2024:10961

RHSA-2024:10964

RHSA-2024:10966

RHSA-2024:10977

RHSA-2024:10982

RHSA-2024:10984

RHSA-2024:11001

RHSA-2024:11027

RHSA-2024:11028

RHSA-2024:11029

RHSA-2024_10834

RHSA-2024_10850

RHSA-2024_10858

RHSA-2024_10860

RHSA-2025:11047

RHSA-2025:12499

RHSA-2025:13269

RHSA-2025:13307

RHSA-2025:15124

RHSA-2025:15371

RHSA-2025:17606

RHSA-2025:17613

RHSA-2025:17614

RHSA-2025:17693

RHSA-2025_11047

RLSA-2024:10834

RLSA-2024:10850

RLSA-2024:10858

RLSA-2024:10860

SUSE-SU-2025:0736-1

SUSE-SU-2025:4264-1

SUSE-SU-2026:1066-1

USN-7091-1

USN-7091-2

USN-7442-1

Produtos afetados

Almalinux

Astra Linux

Centos

Debian

Linuxmint

Apple Macos

Rexml

Red Hat

Red Os

Rocky Linux

Ruby

Suse

Ubuntu

PT-2024-8321 · Ruby+12 · Ruby+12

CVE-2024-49761

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 138