CVE-2022-23476

ALT: (7,5)

CVSS3: 6,5

Sparkle Motion Nokogiri és vulnerable a una denegació de servei causada per un defecte de desviació de punter NULL a causa d’un valor de retorn no comprovat de xmlTextReaderExpand en el mètode Nokogiri::XML::Reader#attribute_hash. Mitjançant l’enviament d’una entrada especialment dissenyada, un atacant remot podria aprofitar aquesta vulnerabilitat per a provocar una denegació de servei.

Sistemes Afectats

• Sparkle Motion Nokogiri 1.13.8
• Sparkle Motion Nokogiri 1.13.9

Remediació
Actualiteu a l’última versió de Nokogiri (1.13.10 o posterior), disponible al repositori GIT de Nokogiri.

Referències

• https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-qv4q-mr5r-qprj
• https://www.mend.io/vulnerability-database/CVE-2022-23476
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23476