[TLP:CLEAR] Libxml2 opravuje 3 zraniteľnosti
Libxml2 verziami 2.12.10 a 2.13.6 opravuje 3 zraniteľnosti [1][2][3], ktoré zatiaľ opravil iba Slackware [4].
Neautentizovanému lokálnemu útočníkovi je umožnené vložením špeciálne vytvoreného XML súboru neoprávnene pristupovať do pamäte [1].
Zraniteľnosť sa nachádza v produkte libxml2 vo verziách (<2.12.10) OR (>=2.13 AND <2.13.6).
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2024-56171 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 2. 2025.
Neautentizovanému lokálnemu útočníkovi je umožnené neoprávnene pristupovať za hranicu pamäte v zásobníku. Zraniteľnosť je zneužiteľná iba v prípade, že bude u vloženého dokumentu využitá DTD validácia [2].
Zraniteľnosť sa nachádza v produkte libxml2 vo verziách (<2.12.10) OR (>=2.13 AND <2.13.6).
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2025-24928 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 2. 2025.
Neautentizovanému lokálnemu útočníkovi je umožnené spôsobiť DoS útok nesprávnym pristupovaním do pamäte [3]
Zraniteľnosť sa nachádza v produkte libxml2 vo verziách (<2.12.10) OR (>=2.13 AND <2.13.6).
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2025-27113 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 18. 2. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 20. 2. 2025.
