Katalog CVE

CVE-2025-49794

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.67%

Percentyl 47 - wyżej niż 47% wszystkich znanych CVE

Streszczenie

W bibliotece libxml2 odkryto podatność use-after-free podczas parsowania elementów XPath w określonych warunkach, gdy schemat XML zawiera elementy <sch:name path="..."/>. Błąd umożliwia atakującemu przygotowanie złośliwego dokumentu XML, który po przetworzeniu przez libxml może spowodować awarię programu lub inne nieprzewidziane zachowania.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego spowodowania awarii aplikacji korzystających z libxml2 (np. serwery WWW, narzędzia do przetwarzania XML) poprzez dostarczenie specjalnie spreparowanego dokumentu XML. Może to prowadzić do przerwania działania usługi (DoS) lub potencjalnie do innych nieokreślonych, niebezpiecznych zachowań.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libxml2 do najnowszej dostępnej wersji, która zawiera poprawkę dla CVE-2025-49794. Przed wdrożeniem łatki warto ograniczyć przetwarzanie niezaufanych dokumentów XML z elementami schematron.

Oryginalny opis (angielski, źródło NVD)

A use-after-free vulnerability was found in libxml2. This issue occurs when parsing XPath elements under certain circumstances when the XML schematron has the <sch:name path="..."/> schema elements. This flaw allows a malicious actor to craft a malicious XML document used as input for libxml, resulting in the program's crash using libxml or other possible undefined behaviors.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS