Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Ruby-lang›Приложениеnvd,anchore_overrides

Rexml

Уязвимости

8

Эксплуатируемые

0

Макс. CVSS

7.5

Макс. EPSS

0.05061

Распределение по критичности

Критический

0

Высокий

1

Средний

5

Низкий

2

Затронутые диапазоны версий

3.3.3–3.4.2< 3.2.5< 3.2.7< 3.3.2< 3.3.3< 3.3.6< 3.3.9

Также сопоставлено как (исходные строки): rexml,ruby

Топ уязвимостей

CVE-2021-28965REXML gem до версии 3.2.5 в Ruby до версий 2.6.7, от 2.7.x до 2.7.3 и 3.x до 3.0.1 неправильно решает проблемы XML round-trip. Неправильный документ может быть создан после разбора и сериализации.

CVE-2024-49761REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.9 имеет уязвимость ReDoS при анализе XML, содержащего много цифр между &# и x...; в шестнадцатеричной числовой ссылке на символ (&#x...). Это не происходит с Ruby 3.2 или более поздней версии. Ruby 3.1 - единственный поддерживаемый Ruby, подверженный этой уязвимости. REXML gem 3.3.9 или более поздней версии включает патч для исправления уязвимости.

CVE-2024-43398REXML — это XML-инструментарий для Ruby. REXML gem до версии 3.3.6 имеет уязвимость DoS, когда он анализирует XML, содержащий много глубоких элементов с одинаковыми атрибутами локального имени. Если вам нужно анализировать ненадежные XML с API древовидного парсера, таким как REXML::Document.new, вы можете подвергнуться этой уязвимости. Если вы используете другие API парсера, такие как API потокового парсера и API парсера SAX2, эта уязвимость не затрагивается. REXML gem 3.3.6 или более поздней версии содержит патч для исправления уязвимости.

CVE-2024-41123REXML — это набор инструментов XML для Ruby. REXML gem до версии 3.3.2 имеет некоторые уязвимости DoS, когда он анализирует XML, содержащий множество специальных символов, таких как пробел, `>]` и `]>`. REXML gem 3.3.3 или более поздней версии включает исправления для устранения этих уязвимостей.

CVE-2024-35176REXML — это набор инструментов XML для Ruby. REXML gem до версии 3.2.6 имеет уязвимость отказа в обслуживании при анализе XML, содержащего много символов `\u003c` в значении атрибута. Этой уязвимости могут быть подвержены те, кому необходимо анализировать ненадежные XML. REXML gem 3.2.7 или более поздней версии включает исправление для устранения этой уязвимости. В качестве обходного пути не анализируйте ненадежные XML.

CVE-2024-39908REXML - это XML-инструментарий для Ruby. REXML gem до версии 3.3.1 имеет несколько уязвимостей DoS при разборе XML, который содержит много определенных символов, таких как `<`, `0` и `%>`. Если вам нужно разбирать ненадежные XML, вы можете пострадать от этих уязвимостей. REXML gem 3.3.2 или более поздней версии включает исправления для устранения этих уязвимостей. Пользователям рекомендуется обновиться. Пользователи, которые не могут обновиться, должны избегать разбора ненадежных XML-строк.

CVE-2024-41946REXML — это набор инструментов XML для Ruby. REXML gem 3.3.2 имеет уязвимость DoS, когда он анализирует XML, который имеет множество расширений сущностей с SAX2 или API pull-парсера. REXML gem 3.3.3 или более поздние версии включают патч для исправления этой уязвимости.

CVE-2025-58767В REXML, XML-инструментарии для Ruby, обнаружена уязвимость DoS при разборе XML-файлов, содержащих несколько XML-объявлений. Проблема затрагивает версии REXML с 3.3.3 по 3.4.1. Для исправления необходимо обновить REXML до версии 3.4.2 или выше. В качестве обходного пути рекомендуется не разбирать недоверенные XML-файлы [1][2]. Источники: - [1] https://github.com/ruby/rexml/security/advisories/GHSA-c2f4-jgmc-q2r5 - [2] https://github.com/ruby/rexml/commit/5859bdeac792687eaf93d8e8f0b7e3c1e2ed5c23

Перейти к вендору →Открыть в каталоге с фильтром по продукту →