PT-2021-7862 · Ezxml+4 · Ezxml+4

Rc0R

·

Publicado

2021-04-01

·

Atualizado

2022-05-16

·

CVE-2021-30485

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
ezXML versão 0.8.6
Descrição
Uma falha na biblioteca ezXML para análise de documentos XML está relacionada a erros de desreferência de ponteiros. A função ezxml internal dtd() realiza um manuseio incorreto da memória ao analisar um arquivo XML malicioso, levando a uma desreferência de ponteiro NULL. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço usando um arquivo XML especialmente criado.
Recomendações
Para a versão 0.8.6 do ezXML, como solução temporária, considere desativar a função ezxml internal dtd() até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

BDU:2023-03828
CVE-2021-30485
DLA-2705-1
MGASA-2021-0580
OPENSUSE-SU-2021:1505-1
OPENSUSE-SU-2021:3804-1
OPENSUSE-SU-2021:3805-1
OPENSUSE-SU-2021:3815-1
OPENSUSE-SU-2021:3873-1
OPENSUSE-SU-2021_1505-1
OPENSUSE-SU-2021_3804-1
OPENSUSE-SU-2021_3805-1
OPENSUSE-SU-2021_3815-1
OPENSUSE-SU-2021_3873-1
SUSE-SU-2021:3804-1
SUSE-SU-2021:3805-1
SUSE-SU-2021:3815-1
SUSE-SU-2021:3873-1
USN-5061-1

Produtos afetados

Astra Linux
Debian
Suse
Ubuntu
Ezxml