Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti per REXML (AL02/240718/CSIRT-ITA) – Aggiornamento

Data:
29 Luglio 2024 08:28

Data di creazione: 18/07/2024 10:21

Sintesi

Rilevata vulnerabilità nel toolkit REXML per il linguaggio di programmazione Ruby.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (63,46/100)1.

Tipologia

  • Denial of Service

Prodotti e versioni affette

REXML

  • Versione 3.3.1 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-39908

Riferimenti

https://github.com/ruby/rexml/releases/tag/v3.3.2

https://www.ruby-lang.org/en/news/2024/07/16/dos-rexml-cve-2024-39908/

https://www.ruby-lang.org/en/news/2024/07/26/ruby-3-2-5-released/ (aggiornamento del 29/07/2024)

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.