由 kou 发布于 2024 年 10 月 28 日
REXML gem 中存在 ReDoS 漏洞。此漏洞已被分配 CVE 标识符 CVE-2024-49761。我们强烈建议升级 REXML gem。
此问题不会在 Ruby 3.2 或更高版本中出现。Ruby 3.1 是唯一受影响的维护版本。请注意,Ruby 3.1 将于 2025-03 达到 EOL(生命周期结束)。
详情
当解析 XML 时,如果十六进制数字字符引用(&#x...;
)中,在 &#
和 x...;
之间存在大量数字。
请将 REXML gem 更新到 3.3.9 或更高版本。
受影响的版本
- REXML gem 3.3.8 或更早版本,搭配 Ruby 3.1 或更早版本
鸣谢
感谢 manun 发现此问题。
历史
- 最初发布于 2024-10-28 03:00:00 (UTC)