Vulnerabilidad en Loofah sobre Nokogiri (CVE-2022-23516)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/12/2022
Última modificación:
03/11/2025
Descripción
Loofah es una librería general para manipular y transformar documentos y fragmentos HTML/XML, construida sobre Nokogiri. Loofah versiones >= 2.2.0 y < 2.19.1 usa recursividad para sanitizar secciones CDATA, lo que la hace susceptible al agotamiento de la pila de memoria y genera una excepción SystemStackError. Esto puede provocar una denegación de servicio debido al consumo de recursos de la CPU. Este problema se solucionó en la versión 2.19.1. Los usuarios que no puedan actualizar pueden mitigar esta vulnerabilidad limitando la longitud de las cadenas que se sanitizan.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:loofah_project:loofah:*:*:*:*:*:ruby:*:* | 2.2.0 (incluyendo) | 2.19.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/flavorjones/loofah/security/advisories/GHSA-3x8r-x6xp-q4vm
- https://lists.debian.org/debian-lts-announce/2023/09/msg00011.html
- https://github.com/flavorjones/loofah/security/advisories/GHSA-3x8r-x6xp-q4vm
- https://lists.debian.org/debian-lts-announce/2023/09/msg00011.html
- https://lists.debian.org/debian-lts-announce/2024/09/msg00044.html