CVE-2024-49761: REXML 中的 ReDoS 漏洞
由 kou 发表于 2024-10-28
翻译: GAO Jun
在 REXML gem 中存在 ReDoS 漏洞。此漏洞的 CVE 编号为 CVE-2024-49761。我们强烈建议您更新 REXML gem.
此漏洞不影响 Ruby 3.2 及后续版本。Ruby 3.1 是唯一受影响的维护版本。请注意 Ruby 3.1 将在 2025-03 结束生命周期。
详情
触发场景:当解析 XML 时,如果在十六进制表达式 (&#x...;) 的 &# 和 x 中间存在大量数字时。
请更新 REXML gem 至 3.3.9 或更高版本。
受影响版本
- Ruby 3.1 且 REXML gem 是 3.3.8 或更低版本
致谢
感谢 manun 发现此问题。
历史
- 最初发布于 2024-10-28 03:00:00 (UTC)
最新消息
Ruby 3.2.10 已发布
Ruby 3.2.10 已发布。
由 hsbt 发表于 2026-01-14
Ruby 4.0.1 已发布
Ruby 4.0.1 已发布。
由 k0kubun 发表于 2026-01-13
Ruby 4.0.0 已发布
我们很高兴地宣布 Ruby 4.0.0 已发布。 Ruby 4.0 引入了 Ruby::Box 和 “ZJIT”,以及若干改进。
由 naruse 发表于 2025-12-25
全新的 Ruby 文档界面
继 重新设计 ruby-lang.org之后, 我们还有更多消息来庆祝 Ruby 诞生 30 周年:docs.ruby-lang.org 采用了全新的、RDoc 的 Aliki 默认主题。
由 Stan Lo 发表于 2025-12-23