Vulnerabilidad en REXML (CVE-2024-35176)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
16/05/2024
Última modificación:
19/09/2025
Descripción
REXML es un conjunto de herramientas XML para Ruby. La gema REXML anterior a 3.2.6 tiene una vulnerabilidad de denegación de servicio cuando analiza un XML que tiene muchos `<` en un valor de atributo. Aquellos que necesiten analizar archivos XML que no sean de confianza pueden verse afectados por esta vulnerabilidad. La gema REXML 3.2.7 o posterior incluye el parche para corregir esta vulnerabilidad. Como solución alternativa, no analice archivos XML que no sean de confianza.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ruby-lang:rexml:*:*:*:*:*:ruby:*:* | 3.2.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ruby/rexml/commit/4325835f92f3f142ebd91a3fdba4e1f1ab7f1cfb
- https://github.com/ruby/rexml/security/advisories/GHSA-vg3r-rm7w-2xgh
- https://www.ruby-lang.org/en/news/2024/05/16/dos-rexml-cve-2024-35176
- https://github.com/ruby/rexml/commit/4325835f92f3f142ebd91a3fdba4e1f1ab7f1cfb
- https://github.com/ruby/rexml/security/advisories/GHSA-vg3r-rm7w-2xgh
- https://security.netapp.com/advisory/ntap-20250306-0001/
- https://www.ruby-lang.org/en/news/2024/05/16/dos-rexml-cve-2024-35176