CVE-2024-35176

06015

CVE-2024-35176

漏洞描述

REXML 是 Ruby 的 XML 工具包。在版本 3.2.6 之前的 REXML gem 存在拒绝服务漏洞,当解析一个具有许多 `<s` 的属性值的 XML 时会受到影响。那些需要解析不受信任的 XML 的人可能会受到此漏洞的影响。REXML gem 的版本 3.2.7 或更高版本包含了修补此漏洞的补丁。作为解决方法,不要解析不受信任的 XML。

安全风险CVSS等级评估

基础分数 风险等级 可利用性评分
5.3 MEDIUM CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
5.3 MEDIUM CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

细节文章

CVSS scores for CVE-2024-35176:https://github.com/ruby/rexml/commit/4325835f92f3f142ebd91a3fdba4e1f1ab7f1cfb
CWE ids for CVE-2024-35176:https://www.ruby-lang.org/en/news/2024/05/16/dos-rexml-cve-2024-35176
References for CVE-2024-35176:https://github.com/ruby/rexml/security/advisories/GHSA-vg3r-rm7w-2xgh

© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
漏洞案例
喜欢就支持一下吧!
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容