CVE-2026-57234
NiskieCVSS 2.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Nokogiri dla języka Ruby dotyczy nieprawidłowego egzekwowania opcji NONET w implementacji JRuby. Opcja ta, domyślnie włączona dla Nokogiri::XML::Schema (zgodnie z CVE-2020-26247), nie zapobiegała pobieraniu zasobów zewnętrznych przez sieć podczas parsowania schematu, co mogło prowadzić do ataków SSRF lub XXE. Problem został naprawiony w wersji 1.19.4.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych (SSRF) lub wstrzykiwania zewnętrznych encji XML (XXE), co może skutkować wyciekiem danych lub naruszeniem integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Nokogiri do wersji 1.19.4 lub nowszej, szczególnie w środowiskach korzystających z JRuby. W międzyczasie zaleca się ręczne wymuszenie opcji NONET podczas parsowania schematów XML.
Oryginalny opis (angielski, źródło NVD)
Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, the NONET parse option, which Nokogiri turns on by default for Nokogiri::XML::Schema (see CVE-2020-26247), was not correctly enforced on the JRuby implementation. As a result, a schema parsed with default options could still cause external resources to be fetched over the network, potentially enabling SSRF or XXE attacks. This vulnerability is fixed in 1.19.4.

