Vulnerabilidad en REXML (CVE-2024-39908)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
16/07/2024
Última modificación:
19/09/2025
Descripción
REXML es un conjunto de herramientas XML para Ruby. La gema REXML anterior a 3.3.1 tiene algunas vulnerabilidades DoS cuando analiza un XML que tiene muchos caracteres específicos como `<`, `0` y `%>`. Si necesita analizar archivos XML que no son de confianza, es posible que se vea afectado por estas vulnerabilidades. La gema REXML 3.3.2 o posterior incluye los parches para corregir estas vulnerabilidades. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben evitar analizar cadenas XML que no sean de confianza.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ruby-lang:rexml:*:*:*:*:*:ruby:*:* | 3.3.2 (excluyendo) | |
| cpe:2.3:o:netapp:bootstrap_os:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ruby/rexml/security/advisories/GHSA-4xqq-m2hx-25v8
- https://www.ruby-lang.org/en/news/2024/07/16/dos-rexml-cve-2024-39908
- https://github.com/ruby/rexml/security/advisories/GHSA-4xqq-m2hx-25v8
- https://security.netapp.com/advisory/ntap-20250117-0008/
- https://www.ruby-lang.org/en/news/2024/07/16/dos-rexml-cve-2024-39908