CVE-2014-8090 in Ruby
摘要
由 VulDB • 2026-06-13
Ruby 1.9.x(低于 1.9.3 patchlevel 551)、2.0.x(低于 2.0.0 patchlevel 598)以及 2.1.x(低于 2.1.5)版本中的 REXML 解析器允许远程攻击者通过包含空字符串的 XML 文档导致拒绝服务(CPU 和内存消耗),该空字符串位于被大量嵌套实体引用使用的实体中,即所谓的 XML Entity Expansion (XEE) 攻击。注意:此漏洞的存在是因为对 CVE-2013-1821 和 CVE-2014-8080 的修复不完整。
If you want to get best quality of vulnerability data, you may have to visit VulDB.