Katalog CVE

CVE-2026-57438

ŚrednieCVSS 6.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.09%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby. Podczas przetwarzania XInclude, węzły <xi:include> wraz z dziećmi i przestrzeniami nazw są zwalniane, ale jeśli aplikacja wcześniej udostępniła je Ruby, obiekty Ruby wskazują na zwolnioną pamięć, co może prowadzić do nieprawidłowych odczytów lub zapisów.

Ocena ryzyka

Ryzyko polega na możliwości naruszenia integralności pamięci, co może skutkować awarią aplikacji, wyciekiem danych lub potencjalnym wykonaniem kodu przez atakującego.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki Nokogiri do wersji 1.19.4 lub nowszej.

Oryginalny opis (angielski, źródło NVD)

Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, XInclude substitution performed by Nokogiri::XML::Node#do_xinclude replaced each <xi:include> in place, freeing the include node along with its children (such as <xi:fallback> and its descendants) and any namespaces declared on them. If an application had already exposed one of those nodes or namespaces to Ruby, the corresponding Ruby object was left pointing at freed memory. Using the object could result in invalid reads or writes to memory. This vulnerability is fixed in 1.19.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS