W bibliotece libxml2 odkryto podatność typu use-after-free, która jest wyzwalana podczas parsowania elementów XPath w dokumentach XML zawierających schematy schematron z elementem <sch:name path="..."/>. Umożliwia ona atakującemu wywołanie awarii aplikacji lub potencjalnie inne niezdefiniowane zachowania systemu.
▸ Pokaż oryginał (EN)
A use-after-free vulnerability was found in libxml2. This issue occurs when parsing XPath elements under certain circumstances when the XML schematron has the <sch:name path="..."/> schema elements. This flaw allows a malicious actor to craft a malicious XML document used as input for libxml, resulting in the program's crash using libxml or other possible undefined behaviors.
Podatność (CWE-825) polega na odwołaniu się do obszaru pamięci, który został już zwolniony, podczas przetwarzania elementów XPath w ramach walidacji XML schematron. Atakujący może spreparować specjalnie skonstruowany dokument XML, który po przekazaniu jako dane wejściowe do aplikacji korzystającej z libxml2 wyzwoli błąd zarządzania pamięcią. W wyniku tego dochodzi do use-after-free, co prowadzi do awarii procesu lub niezdefiniowanego zachowania.
Atakujący może spowodować awarię (crash) aplikacji korzystającej z libxml2, co prowadzi do odmowy usługi (DoS). Wektor CVSS wskazuje również na możliwość naruszenia integralności oraz dostępności systemu; niezdefiniowane zachowania pamięci mogą potencjalnie skutkować dalszymi konsekwencjami zależnymi od kontekstu aplikacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — dla systemów Red Hat dostępne są aktualizacje opublikowane w erratach RHSA-2025:10630, RHSA-2025:10698, RHSA-2025:10699, RHSA-2025:11580 oraz RHSA-2025:12098. Zaleca się jak najszybsze zaktualizowanie biblioteki libxml2 we wszystkich środowiskach produkcyjnych przetwarzających zewnętrzne dokumenty XML.
Biblioteka libxml2 — konkretne wersje wskazane w referencjach producenta (Red Hat errata RHSA-2025:10630, RHSA-2025:10698, RHSA-2025:10699, RHSA-2025:11580, RHSA-2025:12098). Dotyczy systemów i aplikacji przetwarzających dokumenty XML z użyciem libxml2.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H