Publicado por kou el 2024-10-28
Traducción de vtamara
Hay una vulnerabilidad en la gema REXML. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2024-49761. Recomendamos enfáticamente actualizar la gema REXML.
Esto no ocurre con Ruby 3.2 o posteriores. Ruby 3.1 es el único Ruby con mantenimiento que resulta afectado. Note que Ruby 3.1 llegará a su Fin de Vida en 2025-03.
Detalles
Cuando se analiza un XML que tiene mucho dígitos entre
&# y x...;, en una referencia a caracteres de un numero
hexadecimal (&#x...;).
Por favor actualice la gema REXML a la versión 3.3.9 o posterior.
Versiones afectadas
- Gema REXML 3.3.8 y anteriores con Ruby 3.1 o anteriores.
Créditos
Agradecemos a manun por descubrir este problema.
Historia
- Publicado originalmente el 2024-10-28 03:00:00 (UTC)