Posted by kou on 28 Oct 2024
Translated by teeta32
REXML gem に ReDoS 脆弱性が発見されました。この脆弱性は CVE-2024-49761 として登録されています。REXML gem のアップグレードを強く推奨します。
この脆弱性は Ruby 3.2 以降では発生しません。メンテナンスされている Ruby では Ruby 3.1 だけが本脆弱性の影響を受けます。Ruby 3.1 は 2025 年 3 月に EOL となることに注意してください。
詳細
以下のような XML※をパースするときに ReDoS 脆弱性が存在します。
※16 進数の数値文字参照 (&#x…;) の &# と x…; の間に多くの数字を含む XML
REXML gem を 3.3.9 以上にアップデートしてください。
影響を受けるバージョン
- Ruby 3.1 以前で REXML gem 3.3.8 以前を利用する場合
クレジット
- この脆弱性情報は、manun 氏によって報告されました。
更新履歴
- 2024-10-28 12:00:00 (JST) 初版