Katalog CVE

CVE-2025-4476

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 - wyżej niż 23% wszystkich znanych CVE

Streszczenie

W bibliotece klienta HTTP libsoup wykryto podatność na odmowę usługi. Problem występuje, gdy klient libsoup otrzyma odpowiedź HTTP 401 (Unauthorized) z spreparowanym parametrem domeny w nagłówku WWW-Authenticate. Przetworzenie takiego nagłówka może spowodować awarię aplikacji klienckiej korzystającej z libsoup.

Ocena ryzyka

Atakujący może wykorzystać tę podatność, uruchamiając złośliwy serwer HTTP i nakłaniając użytkownika do połączenia się z nim. Skuteczny atak prowadzi do awarii aplikacji klienckiej, co skutkuje przerwaniem jej działania (odmowa usługi).

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libsoup do wersji, w której usunięto tę podatność. Do czasu aktualizacji zaleca się unikanie łączenia się z niezaufanymi serwerami HTTP.

Oryginalny opis (angielski, źródło NVD)

A denial-of-service vulnerability has been identified in the libsoup HTTP client library. This flaw can be triggered when a libsoup client receives a 401 (Unauthorized) HTTP response containing a specifically crafted domain parameter within the WWW-Authenticate header. Processing this malformed header can lead to a crash of the client application using libsoup. An attacker could exploit this by setting up a malicious HTTP server. If a user's application using the vulnerable libsoup library connects to this malicious server, it could result in a denial-of-service. Successful exploitation requires tricking a user's client application into connecting to the attacker's malicious server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS