CVE-2024-49761: Lỗ hổng ReDoS trong REXML

Đăng bởi kou vào 28 Oct 2024

Có một lỗ hổng ReDoS trong gem REXML. Lỗ hổng này đã được gán mã định danh CVE CVE-2024-49761. Chúng tôi khuyến nghị nâng cấp gem REXML.

Điều này không xảy ra với Ruby 3.2 hoặc mới hơn. Ruby 3.1 là phiên bản Ruby được bảo trì duy nhất bị ảnh hưởng. Lưu ý rằng Ruby 3.1 sẽ hết thời hạn hỗ trợ vào tháng 3 năm 2025.

Chi tiết

Khi phân tích một XML có nhiều chữ số giữa &# và x...; trong tham chiếu ký tự số hex (&#x...;).

Vui lòng cập nhật gem REXML lên phiên bản 3.3.9 hoặc mới hơn.

Phiên bản bị ảnh hưởng

• Gem REXML 3.3.8 hoặc trước đó với Ruby 3.1 hoặc trước đó

Ghi nhận

Cảm ơn manun đã phát hiện vấn đề này.

Lịch sử

• Công bố lần đầu vào 2024-10-28 03:00:00 (UTC)