CVE-2024-43398: Lỗ hổng DoS trong REXML

Đăng bởi kou vào 22 Aug 2024

Có một lỗ hổng DoS trong gem REXML. Lỗ hổng này đã được gán mã định danh CVE CVE-2024-43398. Chúng tôi khuyến nghị nâng cấp gem REXML.

Chi tiết

Khi phân tích một XML có nhiều phần tử lồng sâu có cùng tên thuộc tính cục bộ, gem REXML có thể mất nhiều thời gian.

Điều này chỉ ảnh hưởng đến tree parser API. Nếu bạn sử dụng REXML::Document.new để phân tích XML, bạn có thể bị ảnh hưởng.

Vui lòng cập nhật gem REXML lên phiên bản 3.3.6 hoặc mới hơn.

Phiên bản bị ảnh hưởng

• Gem REXML 3.3.5 hoặc trước đó

Ghi nhận

Cảm ơn l33thaxor đã phát hiện vấn đề này.

Lịch sử

• Công bố lần đầu vào 2024-08-22 03:00:00 (UTC)