U biblioteci Libxml2, koju je razvio GNOME projekat i koja se koristi za parsiranje XML sadržaja, identifikovano je pet ranjivosti, od kojih dvije potencijalno mogu dovesti do izvršavanja koda prilikom obrade posebno formatiranih eksternih podataka. Biblioteka Libxml5 se široko koristi u projektima otvorenog koda i, na primjer, koristi se kao zavisnost u više od 2 paketa iz Ubuntua.
Prva ranjivost (CVE-2025-6170) uzrokovana je prepunjavanjem bafera u implementaciji interaktivne ljuske xmllint koja se koristi za parsiranje XML datoteka. Prepunjavanje se javlja prilikom obrade vrlo dugih argumenata komandi zbog nedostatka odgovarajuće validacije veličine ulaznih podataka prije kopiranja podataka pomoću funkcije strcpy(). Da bi iskoristio ranjivost, napadač mora biti u mogućnosti utjecati na komande proslijeđene uslužnom programu xmllint. Zakrpa za ispravljanje ranjivosti još nije dostupna.
Druga ranjivost (CVE-2025-6021) prisutna je u implementaciji funkcije xmlBuildQName() i dovodi do pisanja podataka izvan bafera zbog prekoračenja cijelog broja prilikom izračunavanja veličine bafera na osnovu prefiksa i lokalnog imena. Da bi iskoristio ranjivost, napadač mora zamijeniti svoje podatke u argumente prefiks i ncname koji se prosljeđuju funkciji xmlBuildQName(). Pripremljena je zakrpa za uklanjanje ranjivosti. Ispravka je uključena u izdanje libxml2 2.14.4. Status nove verzije paketa ili pripremu ispravke u distribucijama možete provjeriti na sljedećim stranicama (ako stranica nije dostupna, to znači da programeri distribucija još nisu počeli razmatrati problem): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo i Arch (1, 2).
Ostala tri problema rezultiraju rušenjem sistema zbog pristupa već oslobođenom memorijskom području u funkciji xmlSchematronGetNode (CVE-2025-49794), dereferenciranja nultog pokazivača u funkciji xmlXPathCompiledEval (CVE-2025-49795) i nepravilnog rukovanja tipovima (Konfuzija tipova) u funkciji xmlSchematronFormatReport (CVE-2025-49796). Da bi se riješile ove ranjivosti, razmatra se mogućnost uklanjanja podrške za jezik za označavanje Schematron iz libxml2.
Pored toga, u neodržavanoj biblioteci libxslt zabilježene su tri nezakrpljene ranjivosti. Informacije o ovim problemima još nisu objavljene i planirane su za objavljivanje 9., 13. jula i 6. augusta. Nezakrpljene i javno neobjavljene ranjivosti također su zabilježene u projektima vezanim za GNOME: gvfs, libgxps, gdm, glib, GIMP i libsoup.
Ažuriranje: Održavatelj libxml2 biblioteke je najavio da će sada ranjivosti tretirati kao redovne greške, neće im davati prioritet, ispravljati ih kada imaju vremena i odmah otkrivati prirodu ranjivosti bez nametanja embarga ili davanja vremena za njihovo ispravljanje u proizvodima trećih strana.
izvor: opennet.ru
