GNOME GLib GVariant Parser bytestring_parse/string_parse Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.6 | $0-$5k | 0.00 |
Zusammenfassung
In GNOME GLib wurde eine kritische Schwachstelle gefunden. Betroffen davon ist die Funktion bytestring_parse/string_parse der Komponente GVariant Parser. Durch Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden.
Diese Schwachstelle wird als CVE-2025-14087 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist kein Exploit verfügbar.
Details
In GNOME GLib - die betroffene Version ist nicht bekannt - wurde eine kritische Schwachstelle ausgemacht. Es geht um die Funktion bytestring_parse/string_parse der Komponente GVariant Parser. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-120. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
A flaw was found in GLib (Gnome Lib). This vulnerability allows a remote attacker to cause heap corruption, leading to a denial of service or potential code execution via a buffer-underflow in the GVariant parser when processing maliciously crafted input strings.Bereitgestellt wird das Advisory unter bugzilla.redhat.com. Die Verwundbarkeit wird als CVE-2025-14087 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 06.06.2026).
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 278740 (Debian dla-4412 : libglib2.0-0 - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (278740), EUVD (EUVD-2025-202405) und CERT Bund (WID-SEC-2026-1453) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Red Hat Enterprise Linux
- Oracle Linux
- NetApp ActiveIQ Unified Manager
- RESF Rocky Linux
Produkt
Hersteller
Name
Lizenz
Webseite
- Hersteller: https://www.gnome.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.6VulDB Meta Temp Score: 7.6
VulDB Base Score: 7.3
VulDB Temp Score: 7.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔒
CNA Base Score: 5.6
CNA Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-120 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 278740
Nessus Name: Debian dla-4412 : libglib2.0-0 - security update
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
07.12.2025 Advisory veröffentlicht07.12.2025 VulDB Eintrag erstellt
06.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: gnome.orgAdvisory: bugzilla.redhat.com
Status: Nicht definiert
CVE: CVE-2025-14087 (🔒)
GCVE (CVE): GCVE-0-2025-14087
GCVE (VulDB): GCVE-100-334645
EUVD: 🔒
CERT Bund: WID-SEC-2026-1453 - Red Hat Enterprise Linux (glib): Mehrere Schwachstellen
Eintrag
Erstellt: 07.12.2025 08:57Aktualisierung: 06.06.2026 03:43
Anpassungen: 07.12.2025 08:57 (50), 10.12.2025 11:28 (1), 10.12.2025 12:15 (12), 17.12.2025 00:50 (2), 07.02.2026 00:23 (11), 12.05.2026 13:54 (7), 06.06.2026 03:43 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.