CVE-2024-43398:REXML 中的 DoS 漏洞

REXML gem 中存在 DoS 漏洞。此漏洞已分配 CVE 标识符 CVE-2024-43398。我们强烈建议升级 REXML gem。

详情

当解析具有多个具有相同本地名称属性的深层元素的 XML 时,REXML gem 可能会花费很长时间。

仅当使用树解析器 API 时才会受到影响。如果您使用 REXML::Document.new 解析 XML,则可能会受到影响。

请将 REXML gem 更新至 3.3.6 或更高版本。

受影响的版本

  • REXML gem 3.3.5 或更早版本

鸣谢

感谢 l33thaxor 发现了这个问题。

历史

  • 最初发布于 2024-08-22 03:00:00 (UTC)