PT-2022-1384 · Libexpat+12 · Libexpat+12
Hartwork
·
Publicado
2022-10-24
·
Atualizado
2026-04-01
·
CVE-2022-43680
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 2.4.9 e anteriores da libexpat
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na função
XML ExternalEntityParserCreate da biblioteca de análise de XML libexpat. Essa vulnerabilidade pode ser explorada por um invasor remoto para causar uma negação de serviço. A vulnerabilidade ocorre devido à destruição precipitada de um DTD compartilhado em situações de falta de memória. Ela também pode levar à execução remota de código sem a necessidade de privilégios de execução adicionais, e a interação do usuário não é necessária para a exploração.Recomendações
Para as versões 2.4.9 e anteriores da libexpat, atualize para uma versão posterior à 2.4.9 para resolver o problema.
Como solução temporária, considere desativar a função
XML ExternalEntityParserCreate até que um patch esteja disponível.Restrinja o acesso à biblioteca vulnerável para minimizar o risco de exploração.
Exploit
Correção
DoS
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Ibm Aix
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libexpat