PT-2026-50581 · Bps+2 · Html::Gumbo+1

Niko Tyni

+1

·

Publicado

2026-06-07

·

Atualizado

2026-07-01

·

CVE-2025-15646

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas HTML::Gumbo versões anteriores a 0.19
Descrição Ocorre uma confusão de tipos quando a função walk tree() em lib/HTML/Gumbo.xs não processa corretamente o elemento <template>. Este elemento é tratado incorretamente como um nó de texto, fazendo com que a função strlen() realize uma leitura excessiva (over-read) do bloco de heap. Quando a função parse() é chamada com a variável format definida como string ou tree em entradas que contenham um elemento <template>, conteúdos limitados do heap são expostos no resultado retornado. Chamadas utilizando format definido como callback não são afetadas, pois resultam em um erro (croak) devido ao tipo de nó não tratado.
Recomendações Atualize o HTML::Gumbo para a versão 0.19 ou posterior.

Correção

Type Confusion

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-15646

Produtos afetados

Html::Gumbo
Libhtml-Gumbo-Perl