Se han detectado dos vulnerabilidades críticas en la biblioteca REXML para Ruby, que podrían ser explotadas para causar una denegación de servicio (DoS) en las aplicaciones.
Producto Afectado
- REXML gem versiones anteriores a la 3.3.3.
Impacto
La vulnerabilidades se identifican como:
CVE-2024-41946: Esta vulnerabilidad podría permitir a un atacante no autenticado enviar solicitudes especialmente diseñadas que causen una denegación de servicio (DoS), haciendo que el servidor o aplicación se vuelva inaccesible.
CVE-2024-41123: Esta vulnerabilidad podría ser explotada para consumir excesivos recursos del sistema, lo que podría provocar un deterioro en el rendimiento o una interrupción completa del servicio.
Estas vulnerabilidades podrían permitir a un atacante provocar que una aplicación Ruby que utilice REXML se bloquee o se vuelva inestable, afectando la disponibilidad de sus servicios.
Recomendación
- Actualizar a la última versión disponible del producto afectado desde la página web oficial.
Referencias
https://www.ruby-lang.org/en/news/2024/08/01/dos-rexml-cve-2024-41123/
https://www.ruby-lang.org/en/news/2024/08/01/dos-rexml-cve-2024-41946/