← volver
CVE-2020-26247

XXE in Nokogiri

CVSS 2.6 LOWEPSS 1.3%CWE-611
En resumen

Nokogiri, una popular biblioteca Ruby para analizar HTML y XML, confiaba en recursos externos en esquemas XML de forma predeterminada, permitiendo que atacantes leyeran archivos o accedieran a redes internas. Actualizar a la versión 1.11.0.rc4 o posterior soluciona este problema.

Detalle técnico

Vulnerabilidad XXE en el analizador de esquema XML de Nokogiri (CWE-611) causada por la confianza predeterminada en entidades externas. Un atacante puede crear un esquema XML malicioso para desencadenar solicitudes de red a recursos internos o leer archivos locales, habilitando potencialmente ataques SSRF o divulgación de información. Se corrigió en Nokogiri 1.11.0.rc4 deshabilitando el procesamiento de entidades externas de forma predeterminada.

Resumen generado y traducido por IA a partir de la descripción oficial.
Nokogiri is a Rubygem providing HTML, XML, SAX, and Reader parsers with XPath and CSS selector support. In Nokogiri before version 1.11.0.rc4 there is an XXE vulnerability. XML Schemas parsed by Nokogiri::XML::Schema are trusted by default, allowing external resources to be accessed over the network, potentially enabling XXE or SSRF attacks. This behavior is counter to the security policy followed by Nokogiri maintainers, which is to treat all input as untrusted by default whenever possible. This is fixed in Nokogiri version 1.11.0.rc4.
CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
Productos afectados
sparklemotion · nokogiri

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/sparklemotion/nokogiri/commit/9c87439d9afa14a365ff13e73adc809cb2c3d97bhttps://github.com/sparklemotion/nokogiri/releases/tag/v1.11.0.rc4https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-vr8q-g5c7-m54mhttps://hackerone.com/reports/747489https://lists.debian.org/debian-lts-announce/2021/06/msg00007.htmlhttps://lists.debian.org/debian-lts-announce/2022/10/msg00018.htmlhttps://rubygems.org/gems/nokogirihttps://security.gentoo.org/glsa/202208-29