Sono state identificate cinque vulnerabilità nella libreria Libxml2, sviluppata dal progetto GNOME e utilizzata per analizzare contenuti XML, due delle quali potrebbero potenzialmente causare l'esecuzione di codice durante l'elaborazione di dati esterni formattati in modo speciale. La libreria Libxml5 è ampiamente utilizzata nei progetti open source e, ad esempio, è utilizzata come dipendenza in oltre 2 pacchetti di Ubuntu.
La prima vulnerabilità (CVE-2025-6170) è causata da un buffer overflow nell'implementazione della shell interattiva xmllint utilizzata per analizzare i file XML. L'overflow si verifica durante l'elaborazione di argomenti di comando molto lunghi a causa della mancata validazione della dimensione dei dati di input prima della copia dei dati tramite la funzione strcpy(). Per sfruttare la vulnerabilità, un aggressore deve essere in grado di influenzare i comandi passati all'utilità xmllint. Non è ancora disponibile una patch per correggere la vulnerabilità.
La seconda vulnerabilità (CVE-2025-6021) è presente nell'implementazione della funzione xmlBuildQName() e causa la scrittura di dati oltre il buffer a causa di un overflow di interi durante il calcolo della dimensione del buffer in base al prefisso e al nome locale. Per sfruttare la vulnerabilità, un aggressore deve sostituire i propri dati negli argomenti prefisso e ncname passati alla funzione xmlBuildQName(). È stata preparata una patch per eliminare la vulnerabilità. La correzione è inclusa nella versione libxml2 2.14.4. È possibile verificare lo stato di una nuova versione del pacchetto o la preparazione di una correzione nelle distribuzioni nelle seguenti pagine (se la pagina non è disponibile, significa che gli sviluppatori delle distribuzioni non hanno ancora iniziato a considerare il problema): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo e Arch (1, 2).
Gli altri tre problemi causano un crash dovuto all'accesso a un'area di memoria già rilasciata nella funzione xmlSchematronGetNode (CVE-2025-49794), alla dereferenziazione di un puntatore nullo nella funzione xmlXPathCompiledEval (CVE-2025-49795) e a una gestione errata dei tipi (Type Confusion) nella funzione xmlSchematronFormatReport (CVE-2025-49796). Per risolvere queste vulnerabilità, si sta valutando la possibilità di rimuovere il supporto per il linguaggio di markup Schematron da libxml2.
Inoltre, sono state rilevate tre vulnerabilità non ancora patchate nella libreria libxslt, non più mantenuta. Informazioni su questi problemi non sono ancora state divulgate e la loro pubblicazione è prevista per il 9 luglio, il 13 luglio e il 6 agosto. Sono state rilevate vulnerabilità non patchate e non divulgate pubblicamente anche nei progetti relativi a GNOME: gvfs, libgxps, gdm, glib, GIMP e libsoup.
Aggiornamento: il responsabile di libxml2 ha annunciato che d'ora in poi tratterà le vulnerabilità come bug normali, senza dar loro priorità, le risolverà quando avrà tempo e divulgherà immediatamente la natura della vulnerabilità senza imporre un embargo o dare il tempo di risolverle in prodotti di terze parti.
Fonte: opennet.ru
