PT-2022-5387 · Libxml2+12 · Libxml2+12
Maddie Stone
·
Publicado
2022-06-22
·
Atualizado
2025-07-21
·
CVE-2022-40303
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Versões da libxml2 anteriores à 2.10.3
Descrição
O problema está relacionado a um estouro de inteiro na função
xmlParseNameComplex() da biblioteca libxml2 ao analisar documentos XML com a opção de analisador XML PARSE HUGE ativada. Isso pode levar a uma tentativa de acessar um array com um deslocamento negativo, resultando normalmente em uma falha de segmentação. Um invasor remoto poderia explorar essa vulnerabilidade para executar código arbitrário no sistema, persuadindo uma vítima a abrir um arquivo especialmente criado.Recomendações
Para versões do libxml2 anteriores à 2.10.3, atualize para a versão 2.10.3 ou posterior para resolver o problema. Como solução temporária, considere desativar a opção do analisador
XML PARSE HUGE ao analisar documentos XML para minimizar o risco de exploração. Restrinja o acesso à função xmlParseNameComplex() até que um patch esteja disponível. Evite usar a opção XML PARSE HUGE no endpoint da API afetado até que a vulnerabilidade seja resolvida.Correção
DoS
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Apple Macos
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libxml2