CVE-2025-8732
NiskieCVSS 3.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
W bibliotece libxml2 do wersji 2.14.5 wykryto podatność polegającą na niekontrolowanej rekurencji w funkcji xmlParseSGMLCatalog komponentu xmlcatalog. Atak wymaga dostępu lokalnego i może być przeprowadzony przy użyciu zaufanych katalogów SGML.
Ocena ryzyka
Ryzyko dla organizacji jest niskie, ponieważ atak wymaga dostępu lokalnego i użycia zaufanych katalogów SGML, które są rzadko stosowane. Podatność może prowadzić do przeciążenia systemu (DoS) w przypadku celowego użycia złośliwych katalogów.
Rekomendacja
Zaleca się aktualizację biblioteki libxml2 do wersji 2.14.6 lub nowszej, jeśli dostępna. W przypadku braku możliwości aktualizacji, należy unikać używania zaufanych katalogów SGML i ograniczyć dostęp lokalny do systemu.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in libxml2 up to 2.14.5. It has been declared as problematic. This vulnerability affects the function xmlParseSGMLCatalog of the component xmlcatalog. The manipulation leads to uncontrolled recursion. Attacking locally is a requirement. The exploit has been disclosed to the public and may be used. The real existence of this vulnerability is still doubted at the moment. The code maintainer explains, that "[t]he issue can only be triggered with untrusted SGML catalogs and it makes absolutely no sense to use untrusted catalogs. I also doubt that anyone is still using SGML catalogs at all."

