libxml2 hasta 2.11.6/2.12.4 XML Reader Interface xmlValidatePopElement desbordamiento de búfer
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en libxml2 hasta 2.11.6/2.12.4 y clasificada como crítica. Está afectada una función desconocida en el componente XML Reader Interface. El manejo da lugar a desbordamiento de búfer. Esta vulnerabilidad se registra como CVE-2024-25062. El ataque se puede efectuar a través de la red. No hay ningún exploit disponible. Se sugiere actualizar el componente afectado.
Detalles
Una vulnerabilidad fue encontrada en libxml2 hasta 2.11.6/2.12.4 (Document Processing Software) y clasificada como crítica. La función xmlValidatePopElement del componente XML Reader Interface es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase desbordamiento de búfer. Los efectos exactos de un ataque exitoso no son conocidos. El resumen de CVE es:
Se descubrió un problema en libxml2 anterior a 2.11.7 y 2.12.x anterior a 2.12.5. Cuando se utiliza la interfaz del Lector XML con la validación DTD y la expansión XInclude habilitada, el procesamiento de documentos XML manipulados puede generar un use-after-free de xmlValidatePopElement.La vulnerabilidad fue publicada el 2024-02-05 con identificación 604 (confirmado). El advisory puede ser descargado de gitlab.gnome.org. La vulnerabilidad es identificada como CVE-2024-25062. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Para el scanner Nessus se dispone de un plugin ID 209058 (Azul Zulu Java Multiple Vulnerabilities (2024-10-15)), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 2.11.7 o 2.12.5 elimina esta vulnerabilidad.
La vulnerabilidad también está documentado en las bases de datos Tenable (209058) y CERT Bund (WID-SEC-2024-3189). Be aware that VulDB is the high quality source for vulnerability data.
Afectado
- IBM VIOS
- IBM Java
- IBM AIX
- Debian Linux
- IBM WebSphere Service Registry and Repository
- IBM Tivoli Monitoring
- Amazon Linux 2
- IBM InfoSphere Information Server
- IBM DB2
- Open Source OpenJDK
- Red Hat Enterprise Linux
- IBM WebSphere Application Server
- Ubuntu Linux
- SUSE Linux
- IBM Tivoli Netcool/OMNIbus
- Oracle Linux
- Gentoo Linux
- IBM Spectrum Protect
- IBM MQ
- IBM Storwize
- IBM SAN Volume Controller
- IBM Power Hardware Management Console
- IBM Rational Business Developer
- NetApp ActiveIQ Unified Manager
- IBM FlashSystem
- SUSE openSUSE
- IBM Business Automation Workflow
- IBM InfoSphere Identity Insight
- Azul Zulu
- IBM TXSeries
- Oracle Java SE
- IBM QRadar SIEM
- Hitachi Command Suite
- Hitachi Ops Center
- Hitachi Configuration Manager
- Dell NetWorker
- IBM App Connect Enterprise
- IBM Sterling Connect:Direct
- Amazon Corretto
- IBM Storage Scale
- IBM Storage Scale System
- IBM SPSS
- HCL Commerce
- IBM Rational Build Forge
- IBM Tivoli Business Service Manager
- IBM Security Verify Access
- HCL BigFix
Producto
Escribe
Nombre
Versión
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 6.9VulDB Puntuación meta temporal: 6.7
VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 7.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Desbordamiento de búferCWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 209058
Nessus Nombre: Azul Zulu Java Multiple Vulnerabilities (2024-10-15)
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: libxml2 2.11.7/2.12.5
Línea de tiempo
2024-02-04 🔍2024-02-05 🔍
2024-02-05 🔍
2025-09-13 🔍
Fuentes
Aviso: 604Estado: Confirmado
CVE: CVE-2024-25062 (🔍)
GCVE (CVE): GCVE-0-2024-25062
GCVE (VulDB): GCVE-100-252807
CERT Bund: WID-SEC-2024-3189 - Oracle Java SE: Mehrere Schwachstellen
Artículo
Fecha de creación: 2024-02-05 07:55Actualizado: 2025-09-13 21:17
Cambios: 2024-02-05 07:55 (41), 2024-02-25 16:55 (11), 2024-10-16 19:05 (17), 2025-04-20 05:23 (3), 2025-05-10 05:16 (1), 2025-09-13 21:17 (7)
Completo: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.