CVE-2024-49761: Vulnerabilidade ReDoS na REXML

Escrito por kou em 28/10/2024
Traduzido por nbluis

Existe uma vulnerabilidade ReDoS na gem REXML. Esta vulnerabilidade foi atribuída ao identificador CVE CVE-2024-49761. Recomendamos fortemente a atualização da gem REXML.

Isso não acontece com Ruby 3.2 ou posterior. Ruby 3.1 é a única versão mantida afetada. Note que Ruby 3.1 atingirá EOL em 2025-03.

Detalhes

Ao analisar um XML que possui muitos dígitos entre &# e x...; em uma referência de caractere numérico hexadecimal (&#x...;).

Por favor, atualize a gem REXML para a versão 3.3.9 ou posterior.

Versões afetadas

• Gem REXML 3.3.8 ou anterior com Ruby 3.1 ou anterior

Créditos

Agradecimentos a manun por descobrir este problema.

Histórico

• Publicado originalmente em 2024-10-28 03:00:00 (UTC)