REXML解析畸形XML文件存在拒绝服务漏洞
漏洞详情
包名称: bundler/rexml (RubyGems)
受影响版本: >= 3.3.3, <= 3.4.1
已修复版本: 3.4.2
漏洞描述
影响
REXML库从3.3.3到3.4.1版本在解析包含多个XML声明的XML时存在拒绝服务漏洞。如果需要解析不受信任的XML文件,可能会受到这些漏洞的影响。
补丁
REXML库3.4.2或更高版本包含了修复这些漏洞的补丁。
临时解决方案
不要解析不受信任的XML文件。
参考信息
- https://www.ruby-lang.org/en/news/2025/09/18/dos-rexml-cve-2025-58767/ : Ruby官方网站公告
- GHSA-c2f4-jgmc-q2r5
- ruby/rexml@5859bde
- https://nvd.nist.gov/vuln/detail/CVE-2025-58767
- https://github.com/rubysec/ruby-advisory-db/blob/master/gems/rexml/CVE-2025-58767.yml
安全评分
严重程度: 低
CVSS总体评分: 1.2/10
CVSS v4基础指标
可利用性指标:
- 攻击向量: 本地
- 攻击复杂度: 低
- 攻击要求: 无
- 权限要求: 无
- 用户交互: 无
脆弱系统影响指标:
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 低影响
后续系统影响指标:
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 无影响
弱点分析
CWE-400: 不受控制的资源消耗 产品未能正确控制有限资源的分配和维护,使得攻击者能够影响消耗的资源量,最终导致可用资源耗尽。
CWE-776: DTD中递归实体引用限制不当 产品使用XML文档并允许使用文档类型定义其结构,但未能正确控制实体递归定义的数量。