CVE-2024-49761: Вразливість ReDoS у REXML

Опублікував kou 28-10-2024
Переклав: Andrii Furmanets

Є уразливість ReDoS у gem REXML. Цій уразливості присвоєно ідентифікатор CVE CVE-2024-49761. Ми настійно рекомендуємо оновити gem REXML.

Це не відбувається з Ruby 3.2 або пізнішими версіями. Ruby 3.1 — єдина підтримувана Ruby, що зачеплена. Зверніть увагу, що Ruby 3.1 досягне EOL у березні 2025 року.

Деталі

Під час парсингу XML, який має багато цифр між &# та x...; у шістнадцятковій числовій символьній послідовності (&#x...;).

Будь ласка, оновіть gem REXML до версії 3.3.9 або пізнішої.

Зачеплені версії

• Gem REXML 3.3.8 або раніші з Ruby 3.1 або ранішими

Подяки

Дякуємо manun за виявлення цієї проблеми.

Історія

• Оригінально опубліковано 2024-10-28 03:00:00 (UTC)