Sono state identificate cinque vulnerabilità nella libreria Libxml2, sviluppata dal progetto GNOME e utilizzata per analizzare contenuti XML, due delle quali potrebbero potenzialmente consentire l'esecuzione di codice durante l'elaborazione di dati esterni appositamente creati. Libxml2 è ampiamente utilizzata nei progetti open source e, ad esempio, è una dipendenza presente in oltre 800 pacchetti. Ubuntu.
La prima vulnerabilità (CVE-2025-6170) è causata da un buffer overflow nell'implementazione della shell interattiva xmllint utilizzata per analizzare i file XML. L'overflow si verifica durante l'elaborazione di argomenti di comando molto lunghi a causa della mancata validazione della dimensione dei dati di input prima della copia dei dati tramite la funzione strcpy(). Per sfruttare la vulnerabilità, un aggressore deve essere in grado di influenzare i comandi passati all'utilità xmllint. Non è ancora disponibile una patch per correggere la vulnerabilità.
La seconda vulnerabilità (CVE-2025-6021) risiede nell'implementazione della funzione xmlBuildQName() e causa una scrittura fuori dai limiti a causa di un overflow di interi durante il calcolo della dimensione del buffer in base al prefisso e al nome locale. Per sfruttare questa vulnerabilità, un utente malintenzionato deve sostituire i propri dati negli argomenti prefix e ncname passati alla funzione xmlBuildQName(). È stata preparata una patch per risolvere questa vulnerabilità. La correzione è inclusa nella versione 2.14.4 di libxml2. È possibile verificare lo stato della nuova versione del pacchetto o la preparazione della patch nelle distribuzioni alle seguenti pagine (se la pagina non è disponibile, gli sviluppatori della distribuzione non hanno ancora iniziato a esaminare il problema): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo e Arch (1, 2).
Gli altri tre problemi causano un crash dovuto all'accesso a un'area di memoria già rilasciata nella funzione xmlSchematronGetNode (CVE-2025-49794), alla dereferenziazione di un puntatore nullo nella funzione xmlXPathCompiledEval (CVE-2025-49795) e a una gestione errata dei tipi (Type Confusion) nella funzione xmlSchematronFormatReport (CVE-2025-49796). Per risolvere queste vulnerabilità, si sta valutando la possibilità di rimuovere il supporto per il linguaggio di markup Schematron da libxml2.
Inoltre, sono state rilevate tre vulnerabilità non ancora patchate nella libreria libxslt, non più mantenuta. Informazioni su questi problemi non sono ancora state divulgate e la loro pubblicazione è prevista per il 9 luglio, il 13 luglio e il 6 agosto. Sono state rilevate vulnerabilità non patchate e non divulgate pubblicamente anche nei progetti relativi a GNOME: gvfs, libgxps, gdm, glib, GIMP e libsoup.
Aggiornamento: il responsabile di libxml2 ha annunciato che d'ora in poi tratterà le vulnerabilità come bug normali, senza dar loro priorità, le risolverà quando avrà tempo e divulgherà immediatamente la natura della vulnerabilità senza imporre un embargo o dare il tempo di risolverle in prodotti di terze parti.
Fonte: opennet.ru
