CVE-2022-24839
Uncontrolled Resource Consumption in org.cyberneko.html (nokogiri fork)
Em resumo
Uma falha no analisador de HTML usado pelo Nokogiri permite que atacantes derrubem aplicações enviando HTML malformado especialmente criado que consome muita memória. Isso pode ser explorado para causar uma negação de serviço.
Detalhe técnico
O analisador org.cyberneko.html (fork do Nokogiri) não limita adequadamente o consumo de recursos ao processar HTML malformado, provocando um OutOfMemoryError. Um atacante pode enviar entrada HTML elaborada para esgotar a memória heap e derrubar a aplicação; trata-se de uma vulnerabilidade clássica de consumo incontrolado de recursos que afeta qualquer aplicação que processa HTML não confiável via versões vulneráveis do Nokogiri.
Resumo gerado e traduzido por IA a partir da descrição oficial.
org.cyberneko.html is an html parser written in Java. The fork of `org.cyberneko.html` used by Nokogiri (Rubygem) raises a `java.lang.OutOfMemoryError` exception when parsing ill-formed HTML markup. Users are advised to upgrade to `>= 1.9.22.noko2`. Note: The upstream library `org.cyberneko.html` is no longer maintained. Nokogiri uses its own fork of this library located at https://github.com/sparklemotion/nekohtml and this CVE applies only to that fork. Other forks of nekohtml may have a similar vulnerability.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
sparklemotion · nekohtmlQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →