CRITICAL✓ PATCH🇬🇧 English

CVE-2024-40896

XXE w bibliotece libxml2 — obejście niestandardowych handlerów SAX

CVSS 9.1v3.1pub. 2024-12-23upd. 2025-11-25

Podatność typu XXE (XML External Entity) w bibliotece libxml2 pozwala atakującemu na przeprowadzenie klasycznych ataków XXE mimo prób zablokowania ich przez niestandardowe handlery SAX. Jest to podatność krytyczna, ponieważ może prowadzić do naruszenia integralności danych oraz niedostępności usługi.

Pokaż oryginał (EN)

In libxml2 2.11 before 2.11.9, 2.12 before 2.12.9, and 2.13 before 2.13.3, the SAX parser can produce events for external entities even if custom SAX handlers try to override entity content (by setting "checked"). This makes classic XXE attacks possible.

🤖 Analiza AI
Jak działa

Parser SAX w libxml2 generuje zdarzenia dla zewnętrznych encji XML nawet wtedy, gdy niestandardowe handlery SAX próbują nadpisać zawartość encji poprzez ustawienie flagi 'checked'. Mechanizm ten powinien blokować przetwarzanie zewnętrznych encji, jednak błąd w implementacji sprawia, że flaga jest ignorowana. W rezultacie atakujący może dostarczyć spreparowany dokument XML zawierający odwołania do zewnętrznych encji, które zostaną przetworzone przez parser mimo zabezpieczeń aplikacji.

Skutki

Atakujący może zmanipulować przetwarzanie dokumentów XML w sposób naruszający integralność danych lub powodujący niedostępność aplikacji (denial of service). Możliwe jest przeprowadzenie klasycznych ataków XXE, w tym odczyt plików systemowych czy wymuszenie żądań po stronie serwera (SSRF), w zależności od kontekstu aplikacji.

Mitygacja

Należy zaktualizować libxml2 do wersji 2.11.9, 2.12.9 lub 2.13.3 (odpowiednio do używanej gałęzi). Użytkownicy produktów NetApp powinni śledzić zalecenia producenta dostępne pod adresem https://security.netapp.com/advisory/ntap-20250228-0004/. Dodatkowo zaleca się weryfikację, czy aplikacje korzystające z libxml2 nie polegają wyłącznie na niestandardowych handlerach SAX jako jedynym mechanizmie ochrony przed XXE.

Kogo dotyczy

libxml2 w wersjach: 2.11.x przed 2.11.9, 2.12.x przed 2.12.9 oraz 2.13.x przed 2.13.3. Dotyczy również produktów NetApp HCI Compute Node oraz NetApp SolidFire & HCI Management Node opartych na podatnych wersjach biblioteki.

Uwagi

Szczegóły techniczne błędu oraz commit naprawczy dostępne są w repozytorium projektu libxml2 na GitLab: commit 1a8932303969907f6572b1b6aac4081c56adb5c6, issue #761.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Netapp H300s

    HW
    Netapp
    wszystkie wersje
  • Netapp H300s Firmware

    OS
    Netapp
    wszystkie wersje
  • Netapp H410c

    HW
    Netapp
    wszystkie wersje
  • Netapp H410c Firmware

    OS
    Netapp
    wszystkie wersje
  • Netapp H410s

    HW
    Netapp
    wszystkie wersje
  • Netapp H410s Firmware

    OS
    Netapp
    wszystkie wersje
  • Netapp H500s

    HW
    Netapp
    wszystkie wersje
  • Netapp H500s Firmware

    OS
    Netapp
    wszystkie wersje
  • Netapp H700s

    HW
    Netapp
    wszystkie wersje
  • Netapp H700s Firmware

    OS
    Netapp
    wszystkie wersje
  • Netapp Hci Compute Node

    OS
    Netapp
    wszystkie wersje
  • Netapp Solidfire \& Hci Management Node

    APP
    Netapp
    wszystkie wersje
  • Netapp Solidfire \& Hci Storage Node

    APP
    Netapp
    wszystkie wersje
  • Xmlsoft Libxml2

    APP
    Xmlsoft
    2.11.0 – 2.11.9 (bez)2.13.0 – 2.13.3 (bez)2.12.0 – 2.12.9 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
XXE
CWE
Referencje

Powiązane podatności

CVE-2024-54085CRITICAL10.0⚠ KEVPL ✓ten sam produkt

AMI MegaRAC SPx — zdalne ominięcie uwierzytelnienia w interfejsie Redfish BMC

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2021-44228CRITICAL10.0⚠ KEVten sam produkt

Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...

CVE-2024-56337CRITICAL9.8PL ✓ten sam produkt

Apache Tomcat: niekompletna mitygacja TOCTOU Race Condition (CVE-2024-50379)

CVE-2024-50379CRITICAL9.8PL ✓ten sam produkt

RCE via TOCTOU Race Condition podczas kompilacji JSP w Apache Tomcat