Vulnerabilità: CVE-2020-26247

Nokogiri è un Rubygem fornendo HTML, XML, SAX, e parser Reader con XPath e il supporto selettore CSS. In Nokogiri prima della versione 1.11.0.rc4 v’è una vulnerabilità XXE. Schemi XML analizzato da Nokogiri :: :: XML Schema sono attendibili per impostazione predefinita, permettendo risorse esterne a cui accedere attraverso la rete, potenzialmente permettendo XXe o SSRF attacchi. Questo comportamento è in contrasto con la politica di sicurezza seguito da manutentori Nokogiri, che è quello di trattare tutti ingresso come non attendibile per impostazione predefinita quando possibile. Questo è stato risolto in Nokogiri versione 1.11.0.rc4.


https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-vr8q-g5c7-m54m
https://github.com/sparklemotion/nokogiri/security/advisories/GHSA-vr8q-g5c7-m54m
https://github.com/sparklemotion/nokogiri/commit/9c87439d9afa14a365ff13e73adc809cb2c3d97b
https://github.com/sparklemotion/nokogiri/commit/9c87439d9afa14a365ff13e73adc809cb2c3d97b
https://github.com/sparklemotion/nokogiri/releases/tag/v1.11.0.rc4
https://github.com/sparklemotion/nokogiri/releases/tag/v1.11.0.rc4
https://hackerone.com/reports/747489
https://hackerone.com/reports/747489
https://rubygems.org/gems/nokogiri
https://rubygems.org/gems/nokogiri
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26247


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi