漏洞详情

包信息

包名: bundler
组件: rexml (RubyGems)

受影响版本

= 3.3.3, <= 3.4.1

修复版本

3.4.2

漏洞描述

影响

REXML库从3.3.3到3.4.1版本在解析包含多个XML声明的XML时存在拒绝服务漏洞。如果您需要解析不受信任的XML文件，可能会受到这些漏洞的影响。

修复方案

REXML库3.4.2或更高版本包含了修复这些漏洞的补丁。

临时解决方案

不要解析不受信任的XML文件。

参考链接

https://www.ruby-lang.org/en/news/2025/09/18/dos-rexml-cve-2025-58767 : Ruby官方网站公告
GHSA-c2f4-jgmc-q2r5
ruby/rexml@5859bde
https://nvd.nist.gov/vuln/detail/CVE-2025-58767
https://github.com/rubysec/ruby-advisory-db/blob/master/gems/rexml/CVE-2025-58767.yml

安全评分

严重程度

低风险

CVSS总体评分

1.2/10

CVSS v4基础指标

可利用性指标：

攻击向量：本地
攻击复杂度：低
攻击要求：无
所需权限：无
用户交互：无

脆弱系统影响指标：

机密性：无影响
完整性：无影响
可用性：低影响

后续系统影响指标：

机密性：无影响
完整性：无影响
可用性：无影响

EPSS评分

0.019%（第4百分位）

弱点分析

弱点类型

CWE-400：不受控制的资源消耗
CWE-776：DTD中递归实体引用限制不当（XML实体扩展）

标识信息

CVE ID: CVE-2025-58767
GHSA ID: GHSA-c2f4-jgmc-q2r5

源代码

ruby/rexml

致谢

sofiaaberegg（报告者）

REXML XML解析漏洞引发拒绝服务风险

本文详细分析了REXML库在解析包含多个XML声明的畸形XML文件时存在的拒绝服务漏洞，影响版本从3.3.3到3.4.1，提供了修复版本和临时解决方案。