PT-2024-25852 · Libxmljs · Libxmljs
Uriya Yavnieli
·
Publicado
2024-05-02
·
Atualizado
2025-10-10
·
CVE-2024-34391
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do libxmljs <= 1.0.11
Descrição
O problema está relacionado a uma vulnerabilidade de confusão de tipos ao analisar um XML especialmente criado, ao invocar uma função sobre o resultado de
attrs() que foi chamada em um nó analisado. Isso pode levar à negação de serviço em sistemas de 32 e 64 bits, vazamento de dados, loop infinito e execução remota de código em sistemas de 32 bits com o sinalizador XML PARSE HUGE ativado.Recomendações
Para versões do libxmljs <= 1.0.11, atualize para uma versão corrigida quando disponível.
Como solução temporária, considere limitar a análise de XML não confiável para minimizar o risco de exploração.
Restrinja o acesso à função
attrs() no módulo libxmljs afetado até que o problema seja resolvido.Evite usar a função
attrs() em entradas não confiáveis até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
DoS
RCE
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Libxmljs