Fem sårbarheter har identifierats i Libxml2-biblioteket, utvecklat av GNOME-projektet och använt för att analysera XML-innehåll, varav två potentiellt kan leda till kodkörning vid bearbetning av specialformaterad extern data. Libxml5-biblioteket används flitigt i öppen källkodsprojekt och används till exempel som ett beroende i mer än 2 paket från Ubuntu.
Den första sårbarheten (CVE-2025-6170) orsakas av ett buffertöverskott i implementeringen av det interaktiva xmllint-shellet som används för att analysera XML-filer. Överskottet uppstår vid bearbetning av mycket långa kommandoargument på grund av bristande korrekt validering av indatastorleken innan data kopieras med funktionen strcpy(). För att utnyttja sårbarheten måste en angripare kunna påverka de kommandon som skickas till xmllint-verktyget. En patch för att åtgärda sårbarheten finns ännu inte tillgänglig.
Den andra sårbarheten (CVE-2025-6021) finns i implementeringen av funktionen xmlBuildQName() och leder till att data skrivs bortom bufferten på grund av ett heltalsöversvämning vid beräkning av buffertstorleken baserat på prefixet och det lokala namnet. För att utnyttja sårbarheten måste en angripare ersätta sina data med prefix- och ncname-argumenten som skickas till funktionen xmlBuildQName(). En patch har förberetts för att eliminera sårbarheten. Rättelsen ingår i libxml2 2.14.4-utgåvan. Du kan kontrollera statusen för en ny version av paketet eller förberedelsen av en fix i distributioner på följande sidor (om sidan inte är tillgänglig betyder det att distributionsutvecklarna ännu inte har börjat överväga problemet): Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo och Arch (1, 2).
De andra tre problemen resulterar i en krasch på grund av åtkomst till ett redan frigjort minnesområde i funktionen xmlSchematronGetNode (CVE-2025-49794), en nullpekare-dereferens i funktionen xmlXPathCompiledEval (CVE-2025-49795) och en felaktig hantering av typer (Type Confusion) i funktionen xmlSchematronFormatReport (CVE-2025-49796). För att åtgärda dessa sårbarheter övervägs möjligheten att ta bort stöd för Schematron-märkningsspråket från libxml2.
Dessutom har tre opatchade sårbarheter noterats i det ouppdaterade libxslt-biblioteket. Information om dessa problem har ännu inte offentliggjorts och är planerad att publiceras den 9 juli, 13 juli och 6 augusti. Opatchade och inte offentligt avslöjade sårbarheter har också noterats i de GNOME-relaterade projekten gvfs, libgxps, gdm, glib, GIMP och libsoup.
Uppdatering: Utvecklaren av libxml2 har meddelat att de nu kommer att behandla sårbarheter som vanliga buggar, inte prioritera dem, åtgärda dem när de har tid, och omedelbart avslöja sårbarhetens natur utan att införa ett embargo eller ge tid att åtgärda dem i tredjepartsprodukter.
Källa: opennet.ru
