Cinq vulnérabilités ont été identifiées dans la bibliothèque Libxml2, développée par le projet GNOME et utilisée pour analyser du contenu XML. Deux d'entre elles pourraient potentiellement entraîner l'exécution de code lors du traitement de données externes spécialement formatées. La bibliothèque Libxml5 est largement utilisée dans les projets open source et, par exemple, est utilisée comme dépendance dans plus de 2 paquets Ubuntu.
La première vulnérabilité (CVE-2025-6170) est causée par un dépassement de tampon dans l'implémentation du shell interactif xmllint utilisé pour analyser les fichiers XML. Ce dépassement se produit lors du traitement d'arguments de commande très longs, en raison de l'absence de validation appropriée de la taille des données d'entrée avant leur copie via la fonction strcpy(). Pour exploiter cette vulnérabilité, un attaquant doit pouvoir influencer les commandes transmises à l'utilitaire xmllint. Aucun correctif n'est encore disponible pour corriger cette vulnérabilité.
La deuxième vulnérabilité (CVE-2025-6021) est présente dans l'implémentation de la fonction xmlBuildQName() et entraîne l'écriture de données au-delà du tampon en raison d'un dépassement d'entier lors du calcul de la taille du tampon basé sur le préfixe et le nom local. Pour exploiter cette vulnérabilité, un attaquant doit substituer ses données dans les arguments préfixe et ncname passés à la fonction xmlBuildQName(). Un correctif a été préparé pour corriger cette vulnérabilité. Ce correctif est inclus dans la version 2 de libxml2.14.4. Vous pouvez vérifier l'état d'une nouvelle version du paquet ou la préparation d'un correctif dans les distributions sur les pages suivantes (si la page n'est pas disponible, cela signifie que les développeurs des distributions n'ont pas encore commencé à étudier le problème) : Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo et Arch (1, 2).
Les trois autres problèmes entraînent un plantage dû à un accès à une zone mémoire déjà libérée dans la fonction xmlSchematronGetNode (CVE-2025-49794), à une déréférence de pointeur nul dans la fonction xmlXPathCompiledEval (CVE-2025-49795) et à une gestion incorrecte des types (confusion de types) dans la fonction xmlSchematronFormatReport (CVE-2025-49796). Pour corriger ces vulnérabilités, la suppression de la prise en charge du langage de balisage Schematron dans libxml2 est envisagée.
De plus, trois vulnérabilités non corrigées ont été identifiées dans la bibliothèque libxslt, non maintenue. Les informations sur ces problèmes n'ont pas encore été divulguées et leur publication est prévue les 9, 13 et 6 août. Des vulnérabilités non corrigées et non divulguées publiquement ont également été identifiées dans les projets gvfs, libgxps, gdm, glib, GIMP et libsoup, liés à GNOME.
Mise à jour : Le mainteneur de libxml2 a annoncé qu'il traiterait désormais les vulnérabilités comme des bugs ordinaires, ne les prioriserait pas, les corrigerait quand il en aurait le temps et divulguerait immédiatement la nature de la vulnérabilité sans imposer d'embargo ni donner le temps de les corriger dans des produits tiers.
Source: opennet.ru
