CVE-2024-49761:REXML 中的 ReDoS 漏洞

REXML gem 中存在 ReDoS 漏洞。此漏洞已被分配 CVE 标识符 CVE-2024-49761。我们强烈建议升级 REXML gem。

此问题不会在 Ruby 3.2 或更高版本中出现。Ruby 3.1 是唯一受影响的维护版本。请注意,Ruby 3.1 将于 2025-03 达到 EOL(生命周期结束)。

详情

当解析 XML 时,如果十六进制数字字符引用(&#x...;)中,在 &#x...; 之间存在大量数字。

请将 REXML gem 更新到 3.3.9 或更高版本。

受影响的版本

  • REXML gem 3.3.8 或更早版本,搭配 Ruby 3.1 或更早版本

鸣谢

感谢 manun 发现此问题。

历史

  • 最初发布于 2024-10-28 03:00:00 (UTC)