由 kou 发布于 2024 年 8 月 22 日
REXML gem 中存在 DoS 漏洞。此漏洞已分配 CVE 标识符 CVE-2024-43398。我们强烈建议升级 REXML gem。
详情
当解析具有多个具有相同本地名称属性的深层元素的 XML 时,REXML gem 可能会花费很长时间。
仅当使用树解析器 API 时才会受到影响。如果您使用 REXML::Document.new
解析 XML,则可能会受到影响。
请将 REXML gem 更新至 3.3.6 或更高版本。
受影响的版本
- REXML gem 3.3.5 或更早版本
鸣谢
感谢 l33thaxor 发现了这个问题。
历史
- 最初发布于 2024-08-22 03:00:00 (UTC)