← voltar
CVE-2022-24836

Inefficient Regular Expression Complexity in Nokogiri

CVSS 7.5 HIGHEPSS 3.4%CWE-1333CWE-400
Em resumo

Nokogiri versões anteriores à 1.13.4 possuem um padrão de busca mal projetado que pode travar ou derrubar aplicações ao processar documentos HTML especialmente preparados. Atacantes conseguem causar negação de serviço enviando HTML com codificação que dispara processamento excessivo.

Detalhe técnico

CVE-2022-24836 envolve ReDoS (Negação de Serviço por Expressão Regular) no mecanismo de detecção de codificação HTML do Nokogiri através de backtracking ineficiente em regex (CWE-1333, CWE-400). O vetor de ataque requer envio de HTML malformado para aplicações usando Nokogiri vulnerável; o impacto é indisponibilidade da aplicação por esgotamento de CPU.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Nokogiri is an open source XML and HTML library for Ruby. Nokogiri `< v1.13.4` contains an inefficient regular expression that is susceptible to excessive backtracking when attempting to detect encoding in HTML documents. Users are advised to upgrade to Nokogiri `>= 1.13.4`. There are no known workarounds for this issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
sparklemotion · nokogiri

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://seclists.org/fulldisclosure/2022/Dec/23https://github.com/sparklemotion/nokogiri/commit/e444525ef1634b675cd1cf52d39f4320ef0aecfdhttps://github.com/sparklemotion/nokogiri/security/advisories/GHSA-crjr-9rc5-ghw8https://lists.debian.org/debian-lts-announce/2022/05/msg00013.htmlhttps://lists.debian.org/debian-lts-announce/2022/10/msg00018.htmlhttps://lists.debian.org/debian-lts-announce/2024/09/msg00010.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/6DHCOWMA5PQTIQIMDENA7R2Y5BDYAIYM/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OUPLBUZVM4WPFSXBEP2JS3R6LMKRTLFC/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XMDCWRQXJQ3TFSETPCEFMQ6RR6ME5UA3/https://security.gentoo.org/glsa/202208-29https://support.apple.com/kb/HT213532