[TLP:CLEAR] Libxml2 opravuje 1 zraniteľnosť
Libxml2 verziami 2.11.9, 2.12.9 a 2.13.3 opravuje 1 zraniteľnosť [4].
Neautentizovanému vzdialenému útočníkovi je pomocou sociálneho inžinierstva a špeciálne vytvoreného XML súboru umožnené čítať ľubovoľné súbory v súborovom systéme [1][2]. Zraniteľnosť je regresiou zraniteľnosti CVE-2012-0037 [1], preto je na overenie zraniteľnosti systému možné použiť rovnaké PoC, ktoré je dostupné na [3].
Zraniteľnosť sa nachádza v produkte libxml2 vo verziách vo verziách (>=2.11 AND <2.11.9) OR (>=2.12 AND <2.12.9) OR (>=2.13 AND <2.13.3)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-40896 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 23. 12. 2024.
Odkazy
Publikoval Martin Krajči dňa 2. 1. 2025.
