CVE-2022-24839

Uncontrolled Resource Consumption in org.cyberneko.html (nokogiri fork)

CVSS 7.5 HIGHEPSS 2.0%CWE-400

En resumen

Una vulnerabilidad en el analizador HTML utilizado por Nokogiri permite que atacantes derriben aplicaciones enviando HTML malformado especialmente elaborado que consume memoria excesiva. Esto puede explotarse para causar una denegación de servicio.

Detalle técnico

El analizador org.cyberneko.html (fork de Nokogiri) no limita adecuadamente el consumo de recursos al procesar HTML malformado, provocando un OutOfMemoryError. Un atacante puede enviar entrada HTML elaborada para agotar la memoria heap y derribar la aplicación; se trata de una vulnerabilidad clásica de consumo incontrolado de recursos que afecta a cualquier aplicación que procesa HTML no confiable mediante versiones vulnerables de Nokogiri.

Resumen generado y traducido por IA a partir de la descripción oficial.

org.cyberneko.html is an html parser written in Java. The fork of `org.cyberneko.html` used by Nokogiri (Rubygem) raises a `java.lang.OutOfMemoryError` exception when parsing ill-formed HTML markup. Users are advised to upgrade to `>= 1.9.22.noko2`. Note: The upstream library `org.cyberneko.html` is no longer maintained. Nokogiri uses its own fork of this library located at https://github.com/sparklemotion/nekohtml and this CVE applies only to that fork. Other forks of nekohtml may have a similar vulnerability.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

sparklemotion · nekohtml

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/sparklemotion/nekohtml/commit/a800fce3b079def130ed42a408ff1d09f89e773d https://github.com/sparklemotion/nekohtml/security/advisories/GHSA-9849-p7jc-9rmv https://www.oracle.com/security-alerts/cpujul2022.html