CVE-2022-23476
Unchecked return value from xmlTextReaderExpand in Nokogiri
En resumen
Nokogiri no verifica correctamente si una función tiene éxito al procesar XML, lo que puede causar que el programa se bloquee al procesar XML malformado. Esto es un riesgo si su aplicación procesa datos XML de fuentes no confiables.
Detalle técnico
El CVE-2022-23476 implica validación inadecuada del valor retornado por xmlTextReaderExpand en el método XML::Reader#attribute_hash de Nokogiri, causando desreferencia de puntero nulo con markup malformado. El vector de ataque es entrada XML no confiable sin autenticación requerida; el impacto es negación de servicio por bloqueo de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Nokogiri is an open source XML and HTML library for the Ruby programming language. Nokogiri `1.13.8` and `1.13.9` fail to check the return value from `xmlTextReaderExpand` in the method `Nokogiri::XML::Reader#attribute_hash`. This can lead to a null pointer exception when invalid markup is being parsed. For applications using `XML::Reader` to parse untrusted inputs, this may potentially be a vector for a denial of service attack. Users are advised to upgrade to Nokogiri `>= 1.13.10`. Users may be able to search their code for calls to either `XML::Reader#attributes` or `XML::Reader#attribute_hash` to determine if they are affected.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
sparklemotion · nokogiri¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →