PT-2022-1764 · Expat+13 · Expat+13
Publicado
2022-02-15
·
Atualizado
2026-05-27
·
CVE-2022-25235
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Expat anteriores à 2.4.5
Descrição
O problema está relacionado ao tratamento incorreto da validação de codificação no componente xmltok impl.c da biblioteca Expat, especificamente pela falta de verificações sobre se um caractere UTF-8 é válido em determinado contexto. Isso poderia permitir que um invasor remoto executasse código arbitrário enviando uma solicitação especialmente criada.
Recomendações
Para versões anteriores à 2.4.5, atualize para a versão 2.4.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente xmltok impl.c até que um patch esteja disponível. Evite usar a biblioteca Expat para analisar entradas não confiáveis até que o problema seja resolvido.
Correção
Improper Encoding or Escaping of Output
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Expat
Ibm Aix
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Zvirt Node