[TLP:CLEAR] libexpat opravuje 13 zranitelností

XML parser Expat verzí 2.8.2 opravuje 13 zranitelností. Red Hat vydal opravenou verzi Red Hat Hardened Images pro CVE-2026-56132 [1], Debian vydal opravu pro nestabilní sid a testovací forky vydání [2]. Vybrané zranitelnosti najdete popsané níže, ostatní na [3].

libexpat - DoS (CVE-2026-56132)
CVSS 6.9 (Medium)

Neautentizovanému lokálnímu útočníkovi je kvůli chybné realokaci podpůrného pole pro vnitřní datové struktury při sdílení datových struktur mezi parsery potenciálně umožněno neoprávněně číst data, narušit jejich integritu či vyvolat DoS [4].

Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.

CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 19. 6. 2026.

libexpat - DoS, ACE (CVE-2026-56411)
CVSS 6.9 (Medium)

Neautentizovanému lokálnímu útočníkovi je kvůli chybě spočívající v přetečení celého čísla při zpracování definic typů dokumentů s deklaracemi NOTATION na 32bitových systémech umožněno potenciálně narušit integritu dat, vyvolat DoS či spustit libovolný kód [5] [6].

Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.

CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 21. 6. 2026.

libexpat - DoS, ACE (CVE-2026-56406)
CVSS 6.9 (Medium)

Neautentizovanému lokálnímu útočníkovi je kvůli chybě spočívající v přetečení celého čísla při parsování XML dat z vyrovnávací paměti, způsobené absencí kontroly, potenciálně umožněno narušit integritu dat, vyvolat DoS či spustit libovolný kód [7].

Zranitelnost se nachází v produktu libexpat ve verzích <2.8.2.

CVSS: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 21. 7. 2025.


Za CESNET-CERTS Táňa Macháčková dne 3. 7. 2026.

CESNET-CERTS Logo