ALT-PU-2021-2997-2 — gem-nokogiri

BDU:2020-04514

HIGH7.5

Уязвимость компонента xmlschemas.c библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2020-10-01Modified: 2023-11-21

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

References

CVE-2019-20388

BDU:2021-02772

HIGH7.5

Уязвимость библиотеки libxml2, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю, вызвать состояние отказа в обслуживании

Published: 2021-06-02Modified: 2023-11-21

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2021-3541

BDU:2021-03429

MEDIUM6.5

Уязвимость функции xmlEncodeEntitiesInternal компонента libxml2/entities.c библиотеки Libxml2, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю получить доступ к конфиденциальным данным, а также вызвать отказ в обслуживании

Published: 2021-07-07Modified: 2024-09-24

CVSS 3.xMEDIUM 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

References

CVE-2020-24977

BDU:2021-05268

MEDIUM5.9

Уязвимость компонента parser.c библиотеки Libxml2, связанная с ошибками разыменования указателя, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2021-11-02Modified: 2023-11-21

CVSS 3.xMEDIUM 5.9

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0MEDIUM 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

References

CVE-2021-3537

BDU:2021-05274

HIGH8.6

Уязвимость функционала кодирования xml объектов библиотеки Libxml2, связанная с записью за границами буфера, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Published: 2021-11-02Modified: 2025-03-19

CVSS 3.xHIGH 8.6

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H

CVSS 2.0HIGH 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

References

CVE-2021-3517

BDU:2021-05283

HIGH8.8

Уязвимость компонента xinclude.c библиотеки Libxml2, связанная с использованием памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Published: 2021-11-02Modified: 2025-03-19

CVSS 3.xHIGH 8.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0MEDIUM 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

References

CVE-2021-3518

CVE-2019-20388

HIGH7.5

xmlSchemaPreRun in xmlschemas.c in libxml2 2.9.10 allows an xmlSchemaValidateStream memory leak.

Published: 2020-01-21Modified: 2025-12-17

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2020-24977

MEDIUM6.5

GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesInternal at libxml2/entities.c. The issue has been fixed in commit 50f06b3e.

Published: 2020-09-04Modified: 2024-11-21

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 3.xMEDIUM 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

References

CVE-2021-3517

HIGH8.6

There is a flaw in the xml entity encoding functionality of libxml2 in versions before 2.9.11. An attacker who is able to supply a crafted file to be processed by an application linked with the affected functionality of libxml2 could trigger an out-of-bounds read. The most likely impact of this flaw is to application availability, with some potential impact to confidentiality and integrity if an attacker is able to use memory information to further exploit the application.

Published: 2021-05-19Modified: 2025-12-02

CVSS 2.0HIGH 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xHIGH 8.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H

References

CVE-2021-3518

HIGH8.8

There's a flaw in libxml2 in versions before 2.9.11. An attacker who is able to submit a crafted file to be processed by an application linked with libxml2 could trigger a use-after-free. The greatest impact from this flaw is to confidentiality, integrity, and availability.

Published: 2021-05-18Modified: 2024-11-21

CVSS 2.0MEDIUM 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xHIGH 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

References

CVE-2021-3537

MEDIUM5.9

A vulnerability found in libxml2 in versions before 2.9.11 shows that it did not propagate errors while parsing XML mixed content, causing a NULL dereference. If an untrusted XML document was parsed in recovery mode and post-validated, the flaw could be used to crash the application. The highest threat from this vulnerability is to system availability.

Published: 2021-05-14Modified: 2024-11-21

CVSS 2.0MEDIUM 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xMEDIUM 5.9

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2021-3541

MEDIUM6.5

A flaw was found in libxml2. Exponential entity expansion attack its possible bypassing all existing protection mechanisms and leading to denial of service.

Published: 2021-07-09Modified: 2024-11-21

CVSS 2.0MEDIUM 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:P

CVSS 3.xMEDIUM 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

References

GHSA-286v-pcf5-25rc

MEDIUM5.9

Nokogiri Implements libxml2 version vulnerable to null pointer dereferencing

Published: 2022-05-24Modified: 2023-07-10

CVSS 3.xMEDIUM 5.9

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

References

GHSA-7rrm-v45f-jp64

NONE

Nokogiri updates packaged dependency on libxml2 from 2.9.10 to 2.9.12

Published: 2021-05-17Modified: 2023-07-07

References

GHSA-jw9f-hh49-cvp9

HIGH8.6

Nokogiri contains libxml Out-of-bounds Write vulnerability

Published: 2022-05-24Modified: 2023-08-28

CVSS 3.xHIGH 8.6

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H

References

GHSA-v4f8-2847-rwm7

HIGH8.8

Nokogiri Implements libxml2 version vulnerable to use-after-free

Published: 2022-05-24Modified: 2023-07-10

CVSS 3.xHIGH 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

References

Package update gem-nokogiri in branch sisyphus

Closed issues (16)

Уязвимость компонента xmlschemas.c библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость библиотеки libxml2, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю, вызвать состояние отказа в обслуживании

Уязвимость компонента parser.c библиотеки Libxml2, связанная с ошибками разыменования указателя, позволяющая нарушителю вызвать отказ в обслуживании

xmlSchemaPreRun in xmlschemas.c in libxml2 2.9.10 allows an xmlSchemaValidateStream memory leak.

GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesInternal at libxml2/entities.c. The issue has been fixed in commit 50f06b3e.

There's a flaw in libxml2 in versions before 2.9.11. An attacker who is able to submit a crafted file to be processed by an application linked with libxml2 could trigger a use-after-free. The greatest impact from this flaw is to confidentiality, integrity, and availability.

A flaw was found in libxml2. Exponential entity expansion attack its possible bypassing all existing protection mechanisms and leading to denial of service.

Nokogiri Implements libxml2 version vulnerable to null pointer dereferencing

Nokogiri updates packaged dependency on libxml2 from 2.9.10 to 2.9.12

Nokogiri contains libxml Out-of-bounds Write vulnerability

Nokogiri Implements libxml2 version vulnerable to use-after-free