漏洞标题
REXML中的服务拒绝
漏洞描述信息
REXML是Ruby的XML工具包。在REXML宝石的3.3.1版本之前,当解析包含像`<`、`0`和`%>`这样的许多特定字符的XML时,它存在一些拒绝服务(DoS)漏洞。如果你需要解析不信任的XML,你可能会影响到这些漏洞。REXML宝石的3.3.2版本或更高版本包含了修复这些漏洞的补丁。建议用户升级。对于无法升级的用户,应避免解析不信任的XML字符串。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Denial of service in REXML
漏洞描述信息
REXML is an XML toolkit for Ruby. The REXML gem before 3.3.1 has some DoS vulnerabilities when it parses an XML that has many specific characters such as `<`, `0` and `%>`. If you need to parse untrusted XMLs, you many be impacted to these vulnerabilities. The REXML gem 3.3.2 or later include the patches to fix these vulnerabilities. Users are advised to upgrade. Users unable to upgrade should avoid parsing untrusted XML strings.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
REXML 安全漏洞
漏洞描述信息
REXML是Ruby开源的一个用于 Ruby 的 XML 工具包。 REXML 3.3.2之前版本存在安全漏洞,该漏洞源于存在拒绝服务漏洞。
CVSS信息
N/A
漏洞类别
其他