CVE-2024-35221

Опубликовано: 29 мая 2024

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Rubygems.org is the Ruby community's gem hosting service. A Gem publisher can cause a Remote DoS when publishing a Gem. This is due to how Ruby reads the Manifest of Gem files when using Gem::Specification.from_yaml. from_yaml makes use of SafeYAML.load which allows YAML aliases inside the YAML-based metadata of a gem. YAML aliases allow for Denial of Service attacks with so-called YAML-bombs (comparable to Billion laughs attacks). This was patched. There is is no action required by users. This issue is also tracked as GHSL-2024-001 and was discovered by the GitHub security lab.

Ссылки

EPSS

Процентиль: 16%

0.00051

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-400

Связанные уязвимости

SUSE-SU-2025:02814-2

suse-cvrf

5 месяцев назад

Security update for ruby2.5

SUSE-SU-2025:02814-1

suse-cvrf

6 месяцев назад

Security update for ruby2.5

BDU:2024-05598

CVSS3: 4.3

fstec

больше 1 года назад

Уязвимость репозитория для библиотек языка программирования Ruby RubyGems.org, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

SUSE-SU-2025:4264-1

suse-cvrf

2 месяца назад

Security update for ruby2.5

EPSS

Процентиль: 16%

0.00051

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-400