CVE-2026-57436
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 — wyżej niż 25% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Nokogiri dla języka Ruby umożliwia ustawienie węzła DTD jako korzenia dokumentu XML, co prowadzi do użycia pamięci po jej zwolnieniu (use-after-free) podczas działania garbage collectora lub finalizacji. Skutkuje to nieprawidłowym odczytem pamięci lub potencjalnym segfaultem.
Ocena ryzyka
Atakujący może doprowadzić do awarii aplikacji (segfault) lub nieprzewidywalnego zachowania, co może skutkować przerwaniem działania usługi lub wyciekiem informacji z pamięci.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Nokogiri do wersji 1.19.4 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, Nokogiri::XML::Document#root= validated only that the new root was a Nokogiri::XML::Node, allowing a DTD node to be set as the document root. The result is a heap use-after-free during garbage collection or finalization, leading to an invalid memory read or potentially a segfault. This vulnerability is fixed in 1.19.4.

