PT-2022-5386 · Libxml2+12 · Libxml2+12
Nathan Wachholz
+1
·
Publicado
2022-06-22
·
Atualizado
2025-04-28
·
CVE-2022-40304
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Versões do libxml2 anteriores à 2.10.3
Descrição
Foi descoberta uma falha no libxml2 em que certas definições inválidas de entidades XML podem corromper uma chave da tabela hash, levando potencialmente a erros lógicos subsequentes. Em um caso, pode ocorrer uma liberação dupla de memória, o que pode permitir que um invasor remoto cause uma negação de serviço. A vulnerabilidade está relacionada ao tratamento de objetos com uma estrutura dict, em que o valor do primeiro byte é zero. Essa falha pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para versões do libxml2 anteriores à 2.10.3, atualize para a versão 2.10.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função XML PARSE HUGE para minimizar o risco de exploração. Além disso, evite usar arquivos especialmente criados que possam provocar o erro de liberação dupla até que o problema seja resolvido.
Correção
DoS
Integer Overflow
Double Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Apple Macos
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libxml2