Vulnerabilidad en el analizador SAX en Nokogiri (CVE-2021-41098)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)

Fecha de publicación:

27/09/2021

Última modificación:

06/10/2021

Descripción

Nokogiri es un Rubygem proporcionando analizadores de HTML, XML, SAX y Reader con soporte de selector XPath y CSS. En Nokogiri versiones v1.12.4 y anteriores, sólo en JRuby, el analizador SAX resuelve las entidades externas por defecto. Los usuarios de Nokogiri en JRuby que analizan documentos no confiables usando cualquiera de estas clases se ven afectados: Nokogiri::XML::SAX::Parse, Nokogiri::HTML4::SAX::Parser o su alias Nokogiri::HTML::SAX::Parser, Nokogiri::XML::SAX::PushParser, y Nokogiri::HTML4::SAX::PushParser o su alias Nokogiri::HTML::SAX::PushParser. Los usuarios de JRuby deben actualizar a Nokogiri versión v1.12.5 o posterior, para recibir un parche para este problema. No hay soluciones disponibles para la versión v1.12.4 o anteriores. Los usuarios de CRuby no están afectados

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno