CVE-2024-43398

REXML is an XML toolkit for Ruby. The REXML gem before 3.3.6 has a DoS vulnerability when it parses an XML that has many deep elements that have same local name attributes. If you need to parse untrusted XMLs with tree parser API like REXML::Document.new, you may be impacted to this vulnerability. If you use other parser APIs such as stream parser API and SAX2 parser API, this vulnerability is not affected. The REXML gem 3.3.6 or later include the patch to fix the vulnerability.
Configurations

No configuration.

History

23 Aug 2024, 16:18

Type Values Removed Values Added
Summary
  • (es) REXML es un conjunto de herramientas XML para Ruby. La gema REXML anterior a 3.3.6 tiene una vulnerabilidad DoS cuando analiza un XML que tiene muchos elementos profundos que tienen los mismos atributos de nombre local. Si necesita analizar archivos XML que no son de confianza con una API de analizador de árboles como REXML::Document.new, es posible que se vea afectado por esta vulnerabilidad. Si utiliza otras API de analizador, como la API de analizador de flujo y la API de analizador SAX2, esta vulnerabilidad no se ve afectada. La gema REXML 3.3.6 o posterior incluye el parche para corregir la vulnerabilidad.

22 Aug 2024, 15:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-22 15:15

Updated : 2024-08-23 16:18


NVD link : CVE-2024-43398

Mitre link : CVE-2024-43398

CVE.ORG link : CVE-2024-43398


JSON object : View

Products Affected

No product.

CWE
CWE-776

Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion')