製品・ソフトウェアに関する情報

JVN脆弱性詳細

Nokogiriにおける解放済みメモリの使用に関する脆弱性

Title	Nokogiriにおける解放済みメモリの使用に関する脆弱性
Summary	NokogiriはRubyプログラミング言語向けのオープンソースのXMLおよびHTMLライブラリです。バージョン1.19.4より前のNokogiri::XML::XPathContextは、そのソースドキュメントをガベージコレクションのために保持していませんでした。XPathContextがそのドキュメントよりも長く生存し、ドキュメントが回収された場合、XPath式の評価は無効なメモリを読み取り、潜在的にセグメンテーションフォルトを引き起こす可能性がありました。これはアプリケーションコードが直接XPathContextを構築し、ドキュメントが到達不能になるまでそのコンテキストを使い続けた場合にのみ発生します。通常のDocument#xpath、#css、および関連する検索メソッドには影響せず、不正なドキュメント入力によってトリガーされることもありません。この脆弱性はバージョン1.19.4で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアの一部が停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 25, 2026, midnight
Registration Date	June 29, 2026, 11:22 a.m.
Last Update	June 29, 2026, 11:22 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Affected System

Nokogiri

Nokogiri 1.19.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-57437	https://www.cve.org/CVERecord?id=CVE-2026-57437
National Vulnerability Database (NVD)
2	CVE-2026-57437	https://nvd.nist.gov/vuln/detail/CVE-2026-57437

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-416	https://cwe.mitre.org/data/definitions/416.html

ベンダー情報

No	Name	URL
GitHub
1	Possible Use-After-Free when directly using `NokogirI::XML::XPathContext` beyond document lifetime Advisory sparklemotion/nokogiri GitHub	https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-p67v-3w7g-wjg7

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:22 a.m.

NVD Vulnerability Information

CVE-2026-57437

Summary	Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, Nokogiri::XML::XPathContext did not keep its source document alive for garbage collection. If an XPathContext outlived its document and the document was collected, evaluating an XPath expression could read invalid memory and potentially segfault. This is only reachable when application code constructs an XPathContext directly and lets the document become unreachable while continuing to use the context. The normal Document#xpath, #css, and related search methods are not affected, and it is not triggerable by malicious document input. This vulnerability is fixed in 1.19.4.
Publication Date	June 26, 2026, 12:16 a.m.
Registration Date	June 27, 2026, 4:29 a.m.
Last Update	June 27, 2026, 1:47 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:nokogiri:nokogiri::::::ruby::*					1.19.4

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-p67v-3w7g-wjg7	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-416	解放済みメモリの使用	https://cwe.mitre.org/data/definitions/416.html