Katalog CVE

CVE-2026-57436

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 25 — wyżej niż 25% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Nokogiri dla języka Ruby umożliwia ustawienie węzła DTD jako korzenia dokumentu XML, co prowadzi do użycia pamięci po jej zwolnieniu (use-after-free) podczas działania garbage collectora lub finalizacji. Skutkuje to nieprawidłowym odczytem pamięci lub potencjalnym segfaultem.

Ocena ryzyka

Atakujący może doprowadzić do awarii aplikacji (segfault) lub nieprzewidywalnego zachowania, co może skutkować przerwaniem działania usługi lub wyciekiem informacji z pamięci.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Nokogiri do wersji 1.19.4 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, Nokogiri::XML::Document#root= validated only that the new root was a Nokogiri::XML::Node, allowing a DTD node to be set as the document root. The result is a heap use-after-free during garbage collection or finalization, leading to an invalid memory read or potentially a segfault. This vulnerability is fixed in 1.19.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS