| Summary | REXML is an XML toolkit for Ruby. The REXML gem before 3.2.6 has a denial of service vulnerability when it parses an XML that has many `<`s in an attribute value. Those who need to parse untrusted XMLs may be impacted to this vulnerability. The REXML gem 3.2.7 or later include the patch to fix this vulnerability. As a workaround, don't parse untrusted XMLs. |
|---|---|
| Publication Date | May 17, 2024, 1:15 a.m. |
| Registration Date | May 17, 2024, 10 a.m. |
| Last Update | March 7, 2025, 10:15 a.m. |
| Title | Ruby-lang.org の Ruby 用 REXML におけるリソースの枯渇に関する脆弱性 |
|---|---|
| Summary | Ruby-lang.org の Ruby 用 REXML には、リソースの枯渇に関する脆弱性、制限またはスロットリング無しのリソースの割り当てに関する脆弱性が存在します。 |
| Possible impacts | サービス運用妨害 (DoS) 状態にされる可能性があります。 |
| Solution | ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| Publication Date | May 16, 2024, midnight |
| Registration Date | Sept. 29, 2025, 10:33 a.m. |
| Last Update | Sept. 29, 2025, 10:33 a.m. |
| Ruby-lang.org |
| REXML 3.2.7 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年09月29日] 掲載 |
Sept. 29, 2025, 10:33 a.m. |