Maktabadda Expat 2.4.5, oo loo isticmaalay in lagu kala saaro qaabka XML ee mashaariic badan, oo ay ku jiraan Apache httpd, OpenOffice, LibreOffice, Firefox, Chromium, Python iyo Wayland, waxay meesha ka saartaa shan dayacan oo halis ah, kuwaas oo afar ka mid ah ay suurtogal tahay in ay kuu oggolaadaan inaad abaabusho fulinta code-kaaga marka la farsameeyo xogta XML ee sida gaarka ah loo habeeyay ee codsiyada iyadoo la adeegsanayo libexpat. Laba bayleelood, ka faa'iidaysi shaqo ayaa la soo sheegay. Waxaad la socon kartaa daabacadaha cusboonaysiinta xirmada ee qaybinta boggagan Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Nuglaanta la aqoonsaday:
- CVE-2022-25235 - Bakhaar buux dhaafiyay sababtoo ah xaqiijinta khaldan ee cod galinta xuruufta Unicode, taas oo horseedi karta (waxaa jira ka faa'iidaysi) in lagu codeeyo fulinta marka la farsameeyo taxanaha gaarka ah ee 2- iyo 3-byte UTF-8 xarfaha XML magacyo tag.
- CVE-2022-25236 - Suurtagalnimada in lagu beddelo xuruufta meel-magaca ah ee qiyamka "xmlns[: horgalayaasha]" sifooyinka URI. Nuglaanta ayaa kuu ogolaanaysa inaad abaabusho fulinta koodka marka la farsameynayo xogta weerarka (ka faa'iidaysiga ayaa la heli karaa).
- CVE-2022-25313 Daalka raasamaalku wuxuu dhacaa marka la falanqeeyo block "doctype" (DTD), sida lagu arkay faylalka ka weyn 2 MB oo ay ku jiraan tiro aad u badan oo qawl ah oo furan. Waxaa suurtogal ah in baylahda loo isticmaalo in lagu abaabulo fulinta koodka gaarka ah ee nidaamka.
- CVE-2022-25315 waa isugeyn xad dhaaf ah oo ku jirta shaqada dukaankaRawNames oo ku dhacda kaliya nidaamyada 64-bit waxayna u baahan tahay habaynta xogta gigabytes. Waxaa suurtogal ah in baylahda loo isticmaalo in lagu abaabulo fulinta koodka gaarka ah ee nidaamka.
- CVE-2022-25314 waa isugeyn xad dhaaf ah oo ku jirta shaqeynta nuqulkaString oo ku dhacda kaliya nidaamyada 64-bit waxayna u baahan tahay socodsiinta xogta gigabytes. Dhibaatadu waxay keeni kartaa diidmo adeeg.
Source: opennet.ru