Xmlsoft libxslt đến 1.1.42 numbers.c tràn bộ đệm

CVSS Điểm tạm thời meta	Giá khai thác hiện tại (≈)	Điểm quan tâm CTI
6.6	$0-$5k	0.00

Tóm tắtthông tin

Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong Xmlsoft libxslt đến 1.1.42. Đối tượng bị ảnh hưởng là chức năng xsltNumberFormatGetValue/xsltEvalXPathPredicate/xsltEvalXPathStringNs/xsltComputeSortResultInternal thuộc tệp numbers.c. Việc thao tác dẫn đến tràn bộ đệm. Lỗ hổng này có mã CVE-2025-24855. Cuộc tấn công phải được tiến hành trực tiếp trên hệ thống. Chưa phát hiện mã khai thác nào. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.

Chi tiếtthông tin

Lỗ hổng thuộc loại nghiêm trọng đã được tìm thấy trong Xmlsoft libxslt đến 1.1.42. Đối tượng bị ảnh hưởng là chức năng xsltNumberFormatGetValue/xsltEvalXPathPredicate/xsltEvalXPathStringNs/xsltComputeSortResultInternal thuộc tệp numbers.c. Việc thao tác dẫn đến tràn bộ đệm. Sử dụng CWE để xác định vấn đề sẽ dẫn đến CWE-416. Lỗ hổng đã được công bố dưới mã 128. Thông báo này có thể được tải về tại gitlab.gnome.org.

Lỗ hổng này có mã CVE-2025-24855. Ngày 26/01/2025 là thời điểm CVE được gán. Cuộc tấn công phải được tiến hành trực tiếp trên hệ thống. Thông tin kỹ thuật đã có sẵn. Độ phức tạp của một cuộc tấn công là khá cao. Việc khai thác được cho là không dễ dàng. Lỗ hổng này có mức độ phổ biến thấp hơn trung bình. Chưa phát hiện mã khai thác nào. Vào thời điểm này, giá hiện tại của một khai thác có thể khoảng USD $0-$5k.

Nếu có giá trị độ dài, thì nó được gán là không được định nghĩa. Nessus phát hành một plugin có ID là 233281.

Nâng cấp lên 1.1.43 sẽ giúp giải quyết vấn đề này. Khuyến nghị nâng cấp thành phần bị ảnh hưởng.

Lỗ hổng này cũng đã được đề cập trong các cơ sở dữ liệu lỗ hổng khác: Tenable (233281).

Bị ảnh hưởng

• Debian Linux
• IBM WebSphere Service Registry and Repository
• Amazon Linux 2
• IBM InfoSphere Information Server
• Open Source OpenJDK
• Red Hat Enterprise Linux
• IBM Tivoli Netcool/OMNIbus
• Ubuntu Linux
• IBM WebSphere Application Server
• SUSE Linux
• Oracle Linux
• IBM Integration Bus
• IBM Rational Application Developer for WebSphere Software
• Hitachi Ops Center
• IGEL OS
• Hitachi Configuration Manager
• IBM QRadar SIEM
• Dell Data Protection Advisor
• IBM Storwize
• IBM Business Automation Workflow
• IBM FlashSystem
• IBM Rational Business Developer
• IBM Tivoli Key Lifecycle Manager
• SUSE openSUSE
• IBM License Metric Tool
• IBM App Connect Enterprise
• Xerox FreeFlow Print Server
• HCL BigFix
• Azul Zulu
• IBM TXSeries
• IBM MQ
• IBM SPSS
• Hitachi Command Suite
• Dell Avamar
• IBM Tivoli Monitoring
• Oracle Java SE
• Oracle GraalVM
• Amazon Corretto
• IBM Semeru Runtime
• IBM Java
• IBM Installation Manager
• IBM Tivoli Business Service Manager
• IBM Tivoli Network Manager
• Absolute Secure Access
• IBM Sterling Connect:Direct
• IBM DataPower Gateway
• Dell NetWorker
• RealObjects PDFreactor
• IBM SAN Volume Controller

Sản phẩmthông tin

Nhà cung cấp

• Xmlsoft

Tên

• libxslt

Phiên bản

• 1.1.0
• 1.1.1
• 1.1.2
• 1.1.3
• 1.1.4
• 1.1.5
• 1.1.6
• 1.1.7
• 1.1.8
• 1.1.9
• 1.1.10
• 1.1.11
• 1.1.12
• 1.1.13
• 1.1.14
• 1.1.15
• 1.1.16
• 1.1.17
• 1.1.18
• 1.1.19
• 1.1.20
• 1.1.21
• 1.1.22
• 1.1.23
• 1.1.24
• 1.1.25
• 1.1.26
• 1.1.27
• 1.1.28
• 1.1.29
• 1.1.30
• 1.1.31
• 1.1.32
• 1.1.33
• 1.1.34
• 1.1.35
• 1.1.36
• 1.1.37
• 1.1.38
• 1.1.39
• 1.1.40
• 1.1.41
• 1.1.42

CPE 2.3thông tin

• 🔍
• 🔍
• 🔍

CPE 2.2thông tin

• 🔍
• 🔍
• 🔍

CVSSv4thông tin

VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv3thông tin

VulDB Điểm cơ sở meta: 6.7
VulDB Điểm tạm thời meta: 6.6

VulDB Điểm cơ sở: 4.5
VulDB Điểm tạm thời: 4.3
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

NVD Điểm cơ sở: 7.8
NVD Vector: 🔍

CNA Điểm cơ sở: 7.8
CNA Vector (MITRE): 🔍

CVSSv2thông tin

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Véc-tơ	Độ phức tạp	Xác thực	Bí mật	Toàn vẹn	Khả dụng
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa

VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍

Khai thácthông tin

Lớp: Tràn bộ đệm
CWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Vật lý: Một phần
Cục bộ: Có
Từ xa: Không

Khả dụng: 🔍
Trạng thái: Không được định nghĩa

EPSS Score: 🔍
EPSS Percentile: 🔍

Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍

0-Day	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Hôm nay	Mở khóa	Mở khóa	Mở khóa	Mở khóa

Nessus ID: 233281
Nessus Tên: Debian dsa-5884 : libxslt1-dev - security update

Tình báo mối đe dọathông tin

Sự quan tâm: 🔍
Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍

Biện pháp đối phóthông tin

Khuyến nghị: nâng cấp
Trạng thái: 🔍

Thời gian 0-ngày: 🔍

nâng cấp: libxslt 1.1.43

dòng thời gianthông tin

26/01/2025 🔍
14/03/2025 +47 ngày 🔍
14/03/2025 +0 ngày 🔍
28/11/2025 +259 ngày 🔍

Nguồnthông tin

Khuyến cáo: 128
Trạng thái: Đã xác nhận

CVE: CVE-2025-24855 (🔍)
GCVE (CVE): GCVE-0-2025-24855
GCVE (VulDB): GCVE-100-299705
EUVD: 🔍
CERT Bund: WID-SEC-2025-1569 - Oracle Java SE: Mehrere Schwachstellen

mụcthông tin

Được tạo: 14/03/2025 09:16
Đã cập nhật: 28/11/2025 10:15
Thay đổi: 14/03/2025 09:16 (66), 24/03/2025 02:45 (2), 23/07/2025 15:42 (7), 25/07/2025 15:08 (1), 02/08/2025 14:27 (1), 08/08/2025 16:16 (1), 27/08/2025 19:23 (1), 11/09/2025 15:52 (1), 12/09/2025 11:12 (1), 18/09/2025 21:03 (1), 23/10/2025 04:40 (12), 31/10/2025 15:09 (1), 28/11/2025 10:15 (1)
Hoàn chỉnh: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Thảo luận

Interested in the pricing of exploits?

See the underground prices here!