CVE-2026-0990
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 51 - wyżej niż 51% wszystkich znanych CVE
Streszczenie
W bibliotece libxml2 wykryto podatność na niekontrolowaną rekurencję w funkcji xmlCatalogXMLResolveURI. Problem występuje, gdy katalog XML zawiera wpis delegowanego URI odnoszący się do samego siebie, co prowadzi do nieskończonej rekurencji i wyczerpania stosu wywołań.
Ocena ryzyka
Atakujący może zdalnie spowodować awarię aplikacji korzystających z libxml2 poprzez dostarczenie specjalnie spreparowanego katalogu XML, co prowadzi do odmowy usługi (DoS).
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę libxml2 do najnowszej wersji zawierającej poprawkę. Jeśli aktualizacja nie jest możliwa, należy ograniczyć przetwarzanie niezaufanych katalogów XML.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in libxml2, an XML parsing library. This uncontrolled recursion vulnerability occurs in the xmlCatalogXMLResolveURI function when an XML catalog contains a delegate URI entry that references itself. A remote attacker could exploit this configuration-dependent issue by providing a specially crafted XML catalog, leading to infinite recursion and call stack exhaustion. This ultimately results in a segmentation fault, causing a Denial of Service (DoS) by crashing affected applications.

