CVE-2026-57437— Nokogiri XML XPathContext 使用后释放漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-57437 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Nokogiri: Possible Use-After-Free when directly using `NokogirI::XML::XPathContext` beyond document lifetime
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Nokogiri is an open source XML and HTML library for the Ruby programming language. Prior to 1.19.4, Nokogiri::XML::XPathContext did not keep its source document alive for garbage collection. If an XPathContext outlived its document and the document was collected, evaluating an XPath expression could read invalid memory and potentially segfault. This is only reachable when application code constructs an XPathContext directly and lets the document become unreachable while continuing to use the context. The normal Document#xpath, #css, and related search methods are not affected, and it is not triggerable by malicious document input. This vulnerability is fixed in 1.19.4.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
释放后使用
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| sparklemotion | nokogiri | < 1.19.4 | - |
二、漏洞 CVE-2026-57437 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-57437 的情报信息
请登录查看更多情报信息。
CVE-2026-57437 其他参考 (1)
同批安全公告 · sparklemotion · 2026-06-25 · 共 8 条
| CVE-2026-57234 | 2.6 LOW | Nokogiri JRuby XML::Schema绕过CVE-2020-26247网络请求漏洞 |
| CVE-2026-57438 | Nokogiri XInclude 处理中可能存在释放后使用漏洞 | |
| CVE-2026-57236 | Nokogiri 编码设置引发异常时的Use-After-Free漏洞 | |
| CVE-2026-57235 | Nokogiri XML NodeSet 数组越界读取漏洞 | |
| CVE-2026-57436 | Nokogiri 设置无效节点类型时存在使用释放后漏洞 | |
| CVE-2026-57435 | Nokogiri设置属性值时可能使用后释放漏洞 | |
| CVE-2026-57434 | Nokogiri 未初始化包装类空指针解引用漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-57437
暂无评论