「libxml2」にXXE脆弱性 - 利用アプリに影響

「XML」のパーサー機能などを提供するライブラリ「libxml2」に脆弱性が明らかとなった。同ライブラリを用いるアプリケーションにおいて影響を受けるおそれがある。

XML外部実体参照（XXE）の脆弱性「CVE-2024-40896」が明らかとなったもの。細工したXML文書などを処理することで、認証なしにリモートから悪用できるとしている。

「SAXパーサー」の動作に起因し、「カスタムSAXハンドラ」がエンティティの内容を上書きしようとした際、外部エンティティ関連のイベントを生成できるとしている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。

（Security NEXT - 2024/12/27 ） ツイート

PR

関連記事

アップデートで複数の脆弱性やバグを修正 - GitLab
ビデオ会議のZoom、複数のセキュリティアドバイザリを公開
SAP、セキュリティアドバイザリ14件を公開 - 「クリティカル」も
小学校児童の個人情報含む書類を一時紛失 - 大阪市
サーバに不正ファイル、個人情報流出の可能性 - TCC Japan
メアドが不正利用、スパム送信の踏み台に - 下野新聞
「Ivanti EPM」に複数の深刻な脆弱性 - アップデートを公開
「FortiSwitch」に深刻な脆弱性 - 修正版以降に更新を
Adobe、アドバイザリ5件を公開 - 深刻な脆弱性を解消
Google、複数の脆弱性を解消した「Chrome 132」を公開