[TLP:CLEAR] libexpat opravuje 13 zranitelností
XML parser Expat verzí 2.8.2 opravuje 13 zranitelností. Red Hat vydal opravenou verzi Red Hat Hardened Images pro CVE-2026-56132 [1], Debian vydal opravu pro nestabilní sid a testovací forky vydání [2]. Vybrané zranitelnosti najdete popsané níže, ostatní na [3].
Neautentizovanému lokálnímu útočníkovi je kvůli chybné realokaci podpůrného pole pro vnitřní datové struktury při sdílení datových struktur mezi parsery potenciálně umožněno neoprávněně číst data, narušit jejich integritu či vyvolat DoS [4].
Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
Více informací:
- CVE-2026-56132 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-821: Incorrect Synchronization at cwe.mitre.org
Zranitelnost byla veřejně oznámena 19. 6. 2026.
Neautentizovanému lokálnímu útočníkovi je kvůli chybě spočívající v přetečení celého čísla při zpracování definic typů dokumentů s deklaracemi NOTATION na 32bitových systémech umožněno potenciálně narušit integritu dat, vyvolat DoS či spustit libovolný kód [5] [6].
Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
Více informací:
- CVE-2026-56411 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 6. 2026.
Neautentizovanému lokálnímu útočníkovi je kvůli chybě spočívající v přetečení celého čísla při parsování XML dat z vyrovnávací paměti, způsobené absencí kontroly, potenciálně umožněno narušit integritu dat, vyvolat DoS či spustit libovolný kód [7].
Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.
CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
Více informací:
- CVE-2026-56406 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 21. 7. 2025.
Odkazy
- [1] https://access.redhat.com/security/cve/cve-2026-56132
- [2] https://security-tracker.debian.org/tracker/source-package/expat
- [3] https://github.com/libexpat/libexpat/issues/1276
- [4] https://nvd.nist.gov/vuln/detail/CVE-2026-56132
- [5] https://nvd.nist.gov/vuln/detail/CVE-2026-56411
- [6] https://github.com/libexpat/libexpat/pull/1263
- [7] https://nvd.nist.gov/vuln/detail/CVE-2026-56406
Za CESNET-CERTS Táňa Macháčková dne 3. 7. 2026.