CVE-2026-57435
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby umożliwia pozostawienie wskaźnika Ruby do zwolnionej pamięci podczas zmiany wartości atrybutu XML. Może to prowadzić do odczytu z nieprawidłowego adresu i potencjalnego segfaulta.
Ocena ryzyka
Ryzyko polega na możliwym segfaultcie aplikacji używającej Nokogiri do przetwarzania XML, co może skutkować przerwaniem działania usługi lub wyciekiem informacji w wyniku niekontrolowanego dostępu do pamięci.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Nokogiri do wersji 1.19.4 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, Nokogiri’s CRuby native extension could leave a Ruby wrapper pointing to freed memory when replacing the value of an XML attribute. If Ruby code had already accessed an attribute child node, Nokogiri::XML::Attr#value= could free the underlying native child node while the wrapper remained reachable through the document node cache. A later use of the freed child node or a Ruby GC mark could dereference an invalid pointer, causing an invalid read and a possible segfault. This vulnerability is fixed in 1.19.4.

