PT-2022-2584 · Libxml2+11 · Libxml2+11
Publicado
2022-03-08
·
Atualizado
2026-03-13
·
CVE-2022-29824
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões da libxml2 anteriores à 2.9.14
Versões da libxslt anteriores à 1.1.35
Descrição
O problema está relacionado a estouros de inteiros em várias funções de gerenciamento de buffer nos arquivos buf.c (
xmlBuf*) e tree.c (xmlBuffer*) da biblioteca libxml2. Isso pode resultar em gravações de memória fora dos limites. A exploração requer que a vítima abra um arquivo XML malicioso de vários gigabytes, o que pode levar a uma condição de negação de serviço ou à execução de código arbitrário. Outros softwares que utilizam as funções de buffer da libxml2 também são afetados.Recomendações
Para versões da libxml2 anteriores à 2.9.14, atualize para a versão 2.9.14 ou posterior para resolver o problema.
Para versões da libxslt anteriores à 1.1.35, atualize para a versão 1.1.35 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso das funções de buffer vulneráveis (
xmlBuf* e xmlBuffer*) até que um patch esteja disponível.Evite usar a função
xmlBufAdd nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
DoS
Integer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Ibm Aix
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libxml2
Libxslt