CVE-2026-0992
NiskieCVSS 2.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
W bibliotece libxml2 wykryto podatność polegającą na niekontrolowanym zużyciu zasobów podczas przetwarzania katalogów XML zawierających powtarzające się elementy <nextCatalog> wskazujące na ten sam katalog. Zdalny atakujący może wykorzystać to przez dostarczenie spreparowanych katalogów, powodując nadmiarowe przetwarzanie łańcuchów katalogów.
Ocena ryzyka
Eksploatacja podatności prowadzi do nadmiernego zużycia procesora, co może znacząco obniżyć dostępność aplikacji korzystających z libxml2, prowadząc do odmowy usługi (DoS).
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę libxml2 do najnowszej wersji zawierającej poprawkę. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do przetwarzania niezaufanych katalogów XML.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in the libxml2 library. This uncontrolled resource consumption vulnerability occurs when processing XML catalogs that contain repeated <nextCatalog> elements pointing to the same downstream catalog. A remote attacker can exploit this by supplying crafted catalogs, causing the parser to redundantly traverse catalog chains. This leads to excessive CPU consumption and degrades application availability, resulting in a denial-of-service condition.

