PT-2025-35145 · Xz+3 · Xz+3

Gregorybuligin

·

Publicado

2025-08-28

·

Atualizado

2026-02-10

·

CVE-2025-58058

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas Versões do xz anteriores a 0.5.14
Descrição O pacote xz contém uma falha na qual dados podem ser prefixados a um fluxo de bytes codificado em LZMA sem detecção durante a leitura do cabeçalho. Isso pode levar ao consumo excessivo de memória devido à alocação de um buffer de decodificação completo. O cabeçalho LZMA não possui um número mágico ou checksum para identificar essa questão conforme a especificação. Embora o código eventualmente detecte o problema durante a leitura do fluxo, a memória já foi alocada nesse ponto. Este problema afeta softwares que utilizam lzma.NewReader ou lzma.ReaderConfig.NewReader.
Recomendações Atualize para a versão 0.5.14 ou posterior do xz para corrigir este problema.

Exploit

Correção

DoS

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770

Identificadores relacionados

AZL-66713
AZL-66716
AZL-66720
AZL-66723
AZL-66725
AZL-66728
AZL-66731
AZL-66735
AZL-66741
AZL-66744
AZL-66747
AZL-66750
AZL-66753
AZL-66759
AZL-66762
BDU:2025-12797
CVE-2025-58058
ECHO-F551-FD1B-F6F6
GHSA-JC7W-C686-C4V9
GO-2025-3922
OPENSUSE-SU-2025:15503-1
OPENSUSE-SU-2025:15508-1
OPENSUSE-SU-2025:15509-1
OPENSUSE-SU-2025:15515-1
OPENSUSE-SU-2025:15537-1
OPENSUSE-SU-2025:15542-1
OPENSUSE-SU-2025:15564-1
OPENSUSE-SU-2025:15631-1
OPENSUSE-SU-2025:15722-1
OPENSUSE-SU-2025:20031-1
OPENSUSE-SU-2025:20073-1
OPENSUSE-SU-2025:20117-1
OPENSUSE-SU-2025:20160-1
OPENSUSE-SU-2026:20105-1
OPENSUSE-SU-2026:20192-1
OPENSUSE-SU-2026:20798-1
SUSE-SU-2025:03289-1
SUSE-SU-2025:03448-1
SUSE-SU-2025:21137-1
SUSE-SU-2025:4121-1
SUSE-SU-2025_03448-1
SUSE-SU-2026:0383-1

Produtos afetados

Debian
Red Os
Suse
Xz