由 kou 发表于 2024-10-28
翻译: GAO Jun
在 REXML gem 中存在 ReDoS 漏洞。此漏洞的 CVE 编号为 CVE-2024-49761。我们强烈建议您更新 REXML gem.
此漏洞不影响 Ruby 3.2 及后续版本。Ruby 3.1 是唯一受影响的维护版本。请注意 Ruby 3.1 将在 2025-03 结束生命周期。
详情
触发场景:当解析 XML 时,如果在十六进制表达式 (&#x...;) 的 &# 和 x 中间存在大量数字时。
请更新 REXML gem 至 3.3.9 或更高版本。
受影响版本
- Ruby 3.1 且 REXML gem 是 3.3.8 或更低版本
致谢
感谢 manun 发现此问题。
历史
- 最初发布于 2024-10-28 03:00:00 (UTC)