CVE-2025-49794
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
W bibliotece libxml2 odkryto podatność use-after-free podczas parsowania elementów XPath w określonych warunkach, gdy schemat XML zawiera elementy <sch:name path="..."/>. Błąd umożliwia atakującemu przygotowanie złośliwego dokumentu XML, który po przetworzeniu przez libxml może spowodować awarię programu lub inne nieprzewidziane zachowania.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego spowodowania awarii aplikacji korzystających z libxml2 (np. serwery WWW, narzędzia do przetwarzania XML) poprzez dostarczenie specjalnie spreparowanego dokumentu XML. Może to prowadzić do przerwania działania usługi (DoS) lub potencjalnie do innych nieokreślonych, niebezpiecznych zachowań.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę libxml2 do najnowszej dostępnej wersji, która zawiera poprawkę dla CVE-2025-49794. Przed wdrożeniem łatki warto ograniczyć przetwarzanie niezaufanych dokumentów XML z elementami schematron.
Oryginalny opis (angielski, źródło NVD)
A use-after-free vulnerability was found in libxml2. This issue occurs when parsing XPath elements under certain circumstances when the XML schematron has the <sch:name path="..."/> schema elements. This flaw allows a malicious actor to craft a malicious XML document used as input for libxml, resulting in the program's crash using libxml or other possible undefined behaviors.

