Nokogiri
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.51733
Распределение по критичности
Критический
1
Высокий
6
Средний
3
Низкий
1
Затронутые диапазоны версий
1.5.0–1.5.111.6.6.0–1.6.6.4< 1.11.0< 1.12.5< 1.13.4< 1.13.6< 1.5.4≤ 1.10.3
Также сопоставлено как (исходные строки): nokogiri
Топ уязвимостей
CVE-2019-5477Уязвимость внедрения команд в Nokogiri v1.10.3 и более ранних версиях позволяет выполнять команды в подпроцессе с помощью метода Ruby `Kernel.open`. Процессы уязвимы только в том случае, если недокументированный метод `Nokogiri::CSS::Tokenizer#load_file` вызывается с небезопасными пользовательскими входными данными в качестве имени файла. Эта уязвимость появляется в коде, сгенерированном гемом Rexical версий v1.0.6 и более ранних. Rexical используется Nokogiri для создания кода лексического сканера для разбора CSS-запросов. Базовая уязвимость была устранена в Rexical v1.0.7, и Nokogiri обновился до этой версии Rexical в Nokogiri v1.10.4.
CVE-2022-29181Nokogiri — это библиотека XML и HTML с открытым исходным кодом для Ruby. Nokogiri до версии 1.13.6 не выполняет проверку типов всех входных данных в анализаторы XML и HTML4 SAX, что позволяет специально созданным ненадежным входным данным вызывать ошибки несанкционированного доступа к памяти (segfault) или чтение из несвязанной памяти. Версия 1.13.6 содержит исправление для этой проблемы. В качестве обходного пути убедитесь, что ненадежный вход является `String`, вызвав `#to_s` или эквивалент.
CVE-2018-25032zlib до версии 1.2.12 допускает повреждение памяти при дефляции (т. е. при сжатии), если входные данные имеют много удаленных совпадений.
CVE-2022-24836Nokogiri — это библиотека XML и HTML с открытым исходным кодом для Ruby. Nokogiri `< v1.13.4` содержит неэффективное регулярное выражение, которое подвержено чрезмерному возврату при попытке обнаружить кодировку в HTML-документах. Пользователям рекомендуется обновиться до Nokogiri `>= 1.13.4`. Известных обходных путей для этой проблемы нет.
CVE-2022-23476Nokogiri - это библиотека XML и HTML с открытым исходным кодом для языка программирования Ruby. Nokogiri `1.13.8` и `1.13.9` не проверяют возвращаемое значение из `xmlTextReaderExpand` в методе `Nokogiri::XML::Reader#attribute_hash`. Это может привести к исключению нулевого указателя при синтаксическом анализе недопустимой разметки. Для приложений, использующих `XML::Reader` для синтаксического анализа ненадежных входных данных, это потенциально может быть вектором для атаки типа «отказ в обслуживании». Пользователям рекомендуется обновиться до Nokogiri `>= 1.13.10`. Пользователи могут поискать в своем коде вызовы `XML::Reader#attributes` или `XML::Reader#attribute_hash`, чтобы определить, затронуты ли они.
CVE-2021-41098Nokogiri - это Rubygem, предоставляющий парсеры HTML, XML, SAX и Reader с поддержкой XPath и CSS-селекторов. В Nokogiri v1.12.4 и более ранних версиях, только на JRuby, SAX-парсер по умолчанию разрешает внешние сущности. Пользователи Nokogiri на JRuby, которые анализируют ненадежные документы с использованием любого из этих классов, подвержены уязвимости: Nokogiri::XML::SAX::Parse, Nokogiri::HTML4::SAX::Parser или его псевдоним Nokogiri::HTML::SAX::Parser, Nokogiri::XML::SAX::PushParser и Nokogiri::HTML4::SAX::PushParser или его псевдоним Nokogiri::HTML::SAX::PushParser. Пользователям JRuby следует обновиться до Nokogiri v1.12.5 или более поздней версии, чтобы получить исправление для этой проблемы. Для версии v1.12.4 или более ранних обходные пути отсутствуют. Пользователи CRuby не подвержены уязвимости.
CVE-2012-6685Nokogiri до версии 1.5.4 уязвим для XXE-атак.
CVE-2013-6461Гем Nokogiri 1.5.x и 1.6.x имеет DoS при анализе XML-сущностей из-за невозможности применить ограничения.
CVE-2013-6460Гем Nokogiri 1.5.x имеет отказ в обслуживании через бесконечный цикл при анализе XML-документов.
CVE-2020-26247Nokogiri — это Rubygem, предоставляющий парсеры HTML, XML, SAX и Reader с поддержкой селекторов XPath и CSS. В Nokogiri до версии 1.11.0.rc4 существует уязвимость XXE. XML-схемы, анализируемые Nokogiri::XML::Schema, по умолчанию считаются доверенными, что позволяет получать доступ к внешним ресурсам по сети, что потенциально позволяет использовать атаки XXE или SSRF. Это поведение противоречит политике безопасности, которой придерживаются сопровождающие Nokogiri, которая заключается в том, чтобы по умолчанию относиться ко всем входным данным как к ненадежным, когда это возможно. Это исправлено в Nokogiri версии 1.11.0.rc4.
CVE-2015-1819xmlreader в libxml позволяет удаленным злоумышленникам вызвать отказ в обслуживании (потребление памяти) через специально созданные XML-данные, связанные с атакой XML Entity Expansion (XEE).