Red Hat libxml2 CVE-2025-12863 Use-After-Free Vulnerability

关键信息总结 CVE编号: CVE-2025-12863 发布日期: 2025年11月7日 最后修改时间: 2025年11月7日 20:59:27 UTC 漏洞描述: - 在 函数中发现了一个缺陷，该函数负责在XML节点在文档间移动时更新文档指针。由于对命名空间引用处理不当，当原始文档被销毁时，命名空间指针可能会继续链接到已释放的内存区域。这会导致使用该命名空间的后续操作出现使用后释放条件，从而导致应用程序崩溃。 严重性: 重要 (7.5分，CVSS v3) 外部引用: - CVE 记录 - NVD 详细信息 CVE声明: - Red Hat产品安全团队评估此漏洞的严重程度为高，因为可以通过定制的XML内容远程触发，无需身份验证或用户交互。成功利用可能导致依赖libxml2进行XML文档操作或序列化的服务或应用程序崩溃。 修复措施: - 当前没有可用的修复措施，或者可用的选项不符合Red Hat产品安全标准，包括易用性和部署、广泛安装基础的适用性或稳定性。 受影响的软件包: - Red Hat Enterprise Linux 10: libxml2 - Red Hat Enterprise Linux 6: libxml2 (超出支持范围) - Red Hat Enterprise Linux 7: libxml2 - Red Hat Enterprise Linux 8: libxml2 - Red Hat Enterprise Linux 9: libxml2 - Red Hat JBoss Core Services: libxml2 - Red Hat OpenShift Container Platform 4: rhcos CVSS评分: - CVSS v3 Base Score: 7.5 (Red Hat) - 攻击向量: 网络 - 攻击复杂度: 低 - 所需特权: 无 - 用户交互: 无 - 范围: 不变 - 保密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 - CVSS v3 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVE弱点解释 (CWE): - CWE-416: 使用后释放 - 影响完整性、机密性和可用性 - 技术影响包括修改内存、DoS（崩溃、退出或重启）、执行未经授权的代码或命令。如果在使用后释放的数据重新分配给类，则可能导致执行任意代码。 致谢: - Red Hat感谢Ahmed Lekssays报告此问题。

目標達成すべての支援者に感謝 — 100%達成しました！

Red Hat libxml2 CVE-2025-12863 Use-After-Free Vulnerability

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Red Hat libxml2 CVE-2025-12863 Use-After-Free Vulnerability

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！