Escrito por kou em 28/10/2024
Traduzido por nbluis
Existe uma vulnerabilidade ReDoS na gem REXML. Esta vulnerabilidade foi atribuída ao identificador CVE CVE-2024-49761. Recomendamos fortemente a atualização da gem REXML.
Isso não acontece com Ruby 3.2 ou posterior. Ruby 3.1 é a única versão mantida afetada. Note que Ruby 3.1 atingirá EOL em 2025-03.
Detalhes
Ao analisar um XML que possui muitos dígitos entre &#
e x...;
em uma referência de caractere numérico hexadecimal (&#x...;
).
Por favor, atualize a gem REXML para a versão 3.3.9 ou posterior.
Versões afetadas
- Gem REXML 3.3.8 ou anterior com Ruby 3.1 ou anterior
Créditos
Agradecimentos a manun por descobrir este problema.
Histórico
- Publicado originalmente em 2024-10-28 03:00:00 (UTC)