ANT-2026-TZQ1KH7E · libyang 漏洞概述 漏洞类型: use-after-free 严重程度: medium CVE编号: GHSA-9f49-8x56-jnjc 发现者: Claude (Anthropic的AI助手) 验证者: Trail of Bits 影响范围 目标项目: libyang 影响组件: libyang的XML数据解析器 影响描述: 任何使用libyang解析攻击者控制的(或半受信任的)XML编码YANG实例数据(NETCONF/RESTCONF、配置导入等)的应用程序都会受到影响。这可能导致拒绝服务问题。根据分配器行为和应用程序堆布局,内存损坏可能会被进一步利用。 修复方案 修复状态: 已修复 修复时间: 2026-03-26 修复链接: https://github.com/CESNET/libyang/commit/6b5e5d47ee674fbe86031bbebc4ff26889aaf38c POC代码 时间线 2026-03-26: Patch released 2026-03-29: Reported to tracker 2026-05-07: Sent to maintainer 2026-05-09: Maintainer acknowledged 2026-05-20: Policy revealed