CVE-2014-8090 in Ruby信息

摘要

由 VulDB • 2026-06-13

Ruby 1.9.x(低于 1.9.3 patchlevel 551)、2.0.x(低于 2.0.0 patchlevel 598)以及 2.1.x(低于 2.1.5)版本中的 REXML 解析器允许远程攻击者通过包含空字符串的 XML 文档导致拒绝服务(CPU 和内存消耗),该空字符串位于被大量嵌套实体引用使用的实体中,即所谓的 XML Entity Expansion (XEE) 攻击。注意:此漏洞的存在是因为对 CVE-2013-1821 和 CVE-2014-8080 的修复不完整。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Do you need the next level of professionalism?

Upgrade your account now!